CISA Sinaliza Explorações Ativas em Windows, Cisco

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou duas vulnerabilidades de segurança que afetam produtos da Cisco e Windows ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), na segunda-feira, alertando as organizações sobre a exploração ativa por atores maliciosos.

As duas vulnerabilidades mencionadas abaixo, que foram adicionadas ao KEV com base em evidências de campanhas de exploração, são vetores de ataque frequentes para atores cibernéticos maliciosos e representam riscos significativos para as organizações. Estas são:

CVE-2023-20118 (Pontuação CVSS: 6.5) – Vulnerabilidade de Injeção de Comando em Roteadores Cisco Small Business RV Series:

Essa falha existe na interface de gerenciamento baseada na web dos Roteadores Cisco Small Business RV016, RV042, RV042G, RV082, RV320 e RV325.

A vulnerabilidade permite que um atacante remoto autenticado execute comandos arbitrários em um dispositivo afetado, devido à validação inadequada da entrada do usuário dentro dos pacotes HTTP recebidos.

Essa vulnerabilidade pode ser explorada pelo atacante enviando uma solicitação HTTP especialmente elaborada para a interface de gerenciamento baseada na web.

Se bem-sucedido, o atacante poderia obter privilégios de nível root e acessar dados não autorizados. No entanto, a exploração requer credenciais administrativas válidas no dispositivo afetado.

CVE-2018-8639 (Pontuação CVSS: 7.8) – Vulnerabilidade de Desligamento ou Liberação de Recurso Inadequada do Win32k do Microsoft Windows:

Essa falha é uma vulnerabilidade de elevação de privilégio, que existe no Windows quando o componente Win32k falha em lidar adequadamente com objetos na memória, também conhecida como “Vulnerabilidade de Elevação de Privilégio do Win32k.”

Explorar essa vulnerabilidade pode permitir que atacantes locais ganhem privilégios elevados e potencialmente executem código arbitrário em modo kernel, efetivamente assumindo o controle do sistema Windows afetado.

De acordo com um aviso de segurança emitido pela Microsoft em dezembro de 2018, a vulnerabilidade CVE-2018-8639 afeta Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 e Windows 10 Servers.

Em resposta à exploração ativa dessas vulnerabilidades, a CISA ordenou que todas as agências do Poder Executivo Civil Federal (FCEB), conforme a Diretiva Operacional Vinculativa (BOD) 22-01 de novembro de 2021, aplicassem os patches até 24 de março de 2025, para mitigar as vulnerabilidades identificadas e proteger suas redes contra ameaças potenciais.

No que diz respeito à vulnerabilidade CVE-2023-20118, a Cisco não lançou um patch para corrigi-la, uma vez que os modelos afetados atingiram o fim de sua vida útil (EoL).

Por outro lado, a Microsoft corrigiu a vulnerabilidade CVE-2018-8639 em dezembro de 2018 com uma atualização de segurança do Microsoft Windows.

As organizações que utilizam esses produtos são aconselhadas a tomar ações defensivas imediatas, como desabilitar o gerenciamento remoto, atualizar para o firmware mais recente, monitorar atividades incomuns na rede, usar credenciais fortes como senhas complexas, restringir o acesso a fontes confiáveis e implementar estratégias de defesa em várias camadas.