(https://i.postimg.cc/HsxJ4DC7/CISA.png) (https://postimages.org/)
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido cuatro vulnerabilidades a su catálogo de vulnerabilidades explotadas conocidas, instando a las agencias federales y a las grandes organizaciones a aplicar las actualizaciones de seguridad disponibles lo antes posible.
Entre ellas se encuentran fallas que afectan a Microsoft .NET Framework y Apache OFBiz (Open For Business), dos aplicaciones de software muy utilizadas.
Aunque la agencia ha marcado esas fallas como explotadas activamente en ataques, no ha proporcionado detalles específicos sobre la actividad maliciosa, quién la está llevando a cabo y contra quién.
La primera falla, rastreada bajo CVE-2024-29059, es un error de divulgación de información de alta gravedad ( puntuación CVSS v3: 7,5 ) en .NET Framework descubierto por CODE WHITE y divulgado a Microsoft en noviembre de 2023.
Microsoft cerró el informe de divulgación en diciembre de 2023, declarando que "después de una investigación cuidadosa, determinamos que este caso no cumple con nuestro estándar para un servicio inmediato".
Sin embargo, Microsoft finalmente solucionó la falla en las actualizaciones de seguridad de enero de 2024, pero por error no emitió una CVE ni reconoció a los investigadores.
En febrero, CODE WHITE publicó detalles técnicos y una prueba de concepto de explotación para filtrar las URI de objetos internos, que se pueden usar para realizar ataques de .NET Remoting.
Microsoft finalmente publicó un aviso para esta falla bajo CVE-2024-29059 en marzo de 2024 y atribuyó el descubrimiento a los investigadores.
La falla de Apache OFBiz es CVE-2024-45195, una vulnerabilidad de ejecución remota de código de gravedad crítica ( puntuación CVSS v3: 9.8 ) que afectaba a OFBiz antes del 18.12.16.
La falla es causada por una debilidad de navegación forzada que expone rutas restringidas a ataques de solicitud directa no autenticada.
La falla fue descubierta originalmente por Rapid7, que también presentó una prueba de concepto (PoC), mientras que el proveedor la solucionó en septiembre de 2024.
Se recomienda a los usuarios que actualicen a Apache OFBiz versión 18.12.16 o posterior, que aborda el riesgo en particular.
Ahora, CISA insta a las agencias y organizaciones potencialmente afectadas a aplicar los parches y mitigaciones disponibles antes del 25 de febrero de 2025, o dejar de usar los productos.
Las otras dos fallas agregadas a KEV esta vez son CVE-2018-9276 y CVE-2018-19410, ambas afectando al software de monitoreo de red Paessler PRTG. Los problemas se solucionaron en la versión 18.2.41.1652, lanzada en junio de 2018.
La primera falla es un problema de inyección de comandos del sistema operativo y la segunda es una vulnerabilidad de inclusión de archivos locales. La fecha límite para aplicar parches a estos también se fijó para el 25 de febrero de 2025.
Lamentablemente, no hay información sobre cómo se están explotando estas fallas en los ataques.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/cisa-tags-microsoft-net-and-apache-ofbiz-bugs-as-exploited-in-attacks/