Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
La CISA ordena a las agencias federales que parcheen las vulnerabilidades de día cero
13 de abril de 2023 - Equipo de RRPP de TuxCare
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) ha ordenado a las agencias gubernamentales que subsanen los fallos de seguridad utilizados en los ataques de día cero durante los recientes incidentes en los que se instalaron programas espía comerciales en dispositivos móviles.
Estos fallos se aprovecharon en numerosas cadenas de ataque en dos campañas distintas dirigidas a usuarios de Android e iOS. El objetivo final, según el Grupo de Análisis de Amenazas (TAG) de Google, era instalar spyware en Android que pudiera descifrar y recopilar datos de diversas aplicaciones de chat e Internet.
La primera oleada de ataques comenzó en noviembre de 2022, y los delincuentes utilizaron varias cadenas de exploits para atacar dispositivos iOS y Android. Según Clément Lecigne, de Google TAG, los atacantes aprovecharon el largo periodo transcurrido entre la divulgación de la solución y su despliegue completo en los dispositivos de consumo. Los resultados del Laboratorio de Seguridad de Amnistía Internacional permitieron descubrir y publicar información sobre los dominios y la infraestructura implicados en los asaltos.
Como resultado, CISA ha añadido cinco de las diez vulnerabilidades utilizadas en las dos campañas de spyware a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Estas incluyen CVE-2021-30900 Vulnerabilidad de escritura fuera de los límites de Apple iOS, iPadOS y macOS; CVE-2022-38181 Vulnerabilidad de uso después de libre del controlador del núcleo de la GPU Arm Mali; CVE-2023-0266 Vulnerabilidad de uso después de libre del núcleo de Linux; CVE-2022-3038 Vulnerabilidad de uso después de libre de Google Chrome; y CVE-2022-22706 Vulnerabilidad no especificada del controlador del núcleo de la GPU Arm Mali.
La CISA ha dado a las Agencias del Poder Ejecutivo Civil Federal (FCEB) tres semanas, hasta el 20 de abril, para parchear los dispositivos móviles vulnerables contra posibles ataques dirigidos contra estos cinco fallos de seguridad. Los organismos del FCEB deben proteger sus redes contra todos los fallos añadidos a la lista de vulnerabilidades de CISA que se sabe que pueden ser explotadas en ataques, según la directiva operativa vinculante BOD 22-01 emitida en noviembre de 2021. Aunque la directiva solo se aplica a las agencias FCEB, CISA insta encarecidamente a todas las organizaciones a dar prioridad a parchear estos fallos para frustrar los intentos de explotación.
CISA también ha añadido diez nuevas vulnerabilidades a su Catálogo de Vulnerabilidades Explotadas Conocidas basado en pruebas de explotación activa. Estas vulnerabilidades incluyen CVE-2013-3163 Vulnerabilidad de corrupción de memoria de Microsoft Internet Explorer; CVE-2014-1776 Vulnerabilidad de corrupción de memoria de Microsoft Internet Explorer; CVE-2017-7494 Vulnerabilidad de ejecución remota de código de Samba; CVE-2022-42948 Vulnerabilidad de ejecución remota de código de la interfaz de usuario de Fortra Cobalt Strike; CVE-2022-39197 Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) de Fortra Cobalt Strike Teamserver; CVE-2021-30900 Vulnerabilidad de escritura fuera de los límites de Apple iOS, iPadOS y macOS; CVE-2022-38181 Vulnerabilidad de uso después de la liberación del controlador del kernel de la GPU Mali de Arm; CVE-2023-0266 Vulnerabilidad de uso después de la liberación del kernel de Linux; CVE-2022-3038 Vulnerabilidad de uso después de la liberación de Google Chrome; y CVE-2022-22706 Vulnerabilidad no especificada del controlador del kernel de la GPU Mali de Arm.
CISA advirtió que este tipo de vulnerabilidades son vectores de ataque frecuentes para ciberagentes malintencionados y plantean riesgos significativos para la empresa federal. El Catálogo de Vulnerabilidades Explotadas Conocidas es una lista viva de Vulnerabilidades y Exposiciones Comunes (CVEs) conocidas que conllevan un riesgo significativo para la empresa federal, según lo establecido por la Directiva Operativa Vinculante (BOD) 22-01. Reducir el Riesgo Significativo de Vulnerabilidades Explotadas Conocidas: Reducción del riesgo significativo de vulnerabilidades explotadas conocidas.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
