CISA Señala Explotaciones Activas en Windows, Cisco

La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) agregó dos vulnerabilidades de seguridad que afectan a productos de Cisco y Windows a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), el lunes, advirtiendo a las organizaciones sobre la explotación activa por parte de actores maliciosos.

Las dos vulnerabilidades mencionadas a continuación, que se han agregado al KEV basándose en evidencia de campañas de explotación, son vectores de ataque frecuentes para actores cibernéticos maliciosos y representan riesgos significativos para las organizaciones. Estas son:

CVE-2023-20118 (Puntuación CVSS: 6.5) – Vulnerabilidad de Inyección de Comandos en Routers Cisco Small Business RV Series:

Este defecto existe en la interfaz de gestión basada en la web de los Routers Cisco Small Business RV016, RV042, RV042G, RV082, RV320 y RV325.

La vulnerabilidad permite a un atacante remoto autenticado ejecutar comandos arbitrarios en un dispositivo afectado, lo que se debe a una validación inadecuada de la entrada del usuario dentro de los paquetes HTTP entrantes.

Esta vulnerabilidad puede ser explotada por el atacante enviando una solicitud HTTP especialmente diseñada a la interfaz de gestión basada en la web.

Si tiene éxito, el atacante podría obtener privilegios de nivel root y acceder a datos no autorizados. Sin embargo, la explotación requiere credenciales administrativas válidas en el dispositivo afectado.

CVE-2018-8639 (Puntuación CVSS: 7.8) – Vulnerabilidad de Apagado o Liberación de Recursos Inadecuada en Microsoft Windows Win32k:

Este defecto es una vulnerabilidad de elevación de privilegios, que existe en Windows cuando el componente Win32k no maneja adecuadamente los objetos en memoria, también conocida como “Vulnerabilidad de Elevación de Privilegios Win32k.”

Explotar esta vulnerabilidad puede permitir a los atacantes locales obtener privilegios elevados y potencialmente ejecutar código arbitrario en modo kernel, tomando efectivamente el control del sistema Windows afectado.

Según un aviso de seguridad emitido por Microsoft en diciembre de 2018, la vulnerabilidad CVE-2018-8639 afecta a Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 y Windows 10 Servers.

En respuesta a la explotación activa de estas vulnerabilidades, CISA ha ordenado a todas las agencias de la Rama Ejecutiva Civil Federal (FCEB), de acuerdo con la Directiva Operativa Vinculante (BOD) 22-01 de noviembre de 2021, que apliquen los parches antes del 24 de marzo de 2025, para mitigar las vulnerabilidades identificadas y proteger sus redes contra amenazas potenciales.

En lo que respecta a la vulnerabilidad CVE-2023-20118, Cisco no ha lanzado un parche para solucionarlo, ya que los modelos afectados han alcanzado su fin de vida (EoL).

Por otro lado, Microsoft parcheó la vulnerabilidad CVE-2018-8639 en diciembre de 2018 con una actualización de seguridad de Microsoft Windows.

Se aconseja a las organizaciones que utilizan estos productos que tomen medidas defensivas inmediatas, como deshabilitar la gestión remota, actualizar al firmware más reciente, monitorear actividades inusuales en la red, utilizar credenciales fuertes como contraseñas complejas, restringir el acceso a fuentes de confianza e implementar estrategias de defensa en múltiples capas.