La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado seis nuevas vulnerabilidades a su Catálogo de Vulnerabilidades Explotadas Conocidas, que incluyen CVE en Code Aurora ACDB Audio Driver, Linux Kernel, Microsoft Windows y Trend Micro Apex One.
El catálogo de CISA sirve como un punto focal diseñado para que las agencias gubernamentales de EE. UU. mantengan sus sistemas de TI parcheados y protegidos contra las vulnerabilidades más impactantes que circulan actualmente. El cumplimiento de la lista es obligatorio para estas organizaciones, pero cualquier equipo de seguridad en cualquier organización a nivel mundial puede beneficiarse de mantenerse actualizado.
Las vulnerabilidades recién agregadas son las siguientes:
- CVE-2022-40139 en Trend Micro Apex One y Apex One como servicio. Esta es una vulnerabilidad de validación incorrecta que conduce a la ejecución remota de código (RCE);
- CVE-2013-6282 en el núcleo de Linux. Esta es una vulnerabilidad de validación de entrada incorrecta que podría permitir que una aplicación lea y escriba la memoria del kernel, lo que lleva a una escalada de privilegios;
- CVE-2013-2597 en Code Aurora ACDB Audio Driver, que se utiliza en varios productos de terceros, incluidos los dispositivos Android. Esta es una vulnerabilidad de desbordamiento de búfer basada en pila que permite la escalada de privilegios;
- CVE-2013-2596 en el núcleo de Linux. Esta es una vulnerabilidad de desbordamiento de enteros que conduce a una escalada de privilegios;
- CVE-2013-2094, en Linux Kernel. Esta es una vulnerabilidad de escalada de privilegios que resulta de una falla del kernel para verificar los 64 bits de attr.config pasados por el espacio del usuario;
- CVE-2010-2568 en Microsoft Windows, una vulnerabilidad RCE que surge de una situación en la que Windows analiza incorrectamente los accesos directos de tal manera que se puede ejecutar un código malicioso si el sistema operativo muestra el ícono de un archivo de acceso directo malicioso.
Los organismos gubernamentales de EE. UU. tienen hasta el jueves 6 de octubre para parchear las nuevas vulnerabilidades. Como ya se señaló, otras organizaciones no están sujetas a este cronograma, pero se les recomienda que actúen rápidamente.
Al comentar sobre las últimas incorporaciones a la lista de CISA, el director de seguridad técnica de Qualys en el Reino Unido, Paul Baird, dijo: “Según la evidencia de explotación activa, este tipo de vulnerabilidades son un vector de ataque frecuente para ciberactores maliciosos y representan un riesgo significativo.
“Lo que me preocupa es que cuatro de los CVE publicados hoy son de 2013 y uno es de 2010. Solo una de las nuevas vulnerabilidades explotadas es un CVE de 2022. Esto muestra que hay muchas empresas que tienen problemas. en torno a conocer su TI, mantener esos activos de TI actualizados o mitigar adecuadamente esos problemas para que no haya riesgo de explotación.
“Reparar vulnerabilidades conocidas es una de las mejores formas de prevenir ataques, pero a muchas empresas les resulta difícil mantenerse al día. Del mismo modo, los sistemas al final de su vida útil deben reemplazarse o migrarse si aún son necesarios para las empresas”, dijo Baird.
Las últimas incorporaciones se producen solo un día después de que CISA agregara otras dos vulnerabilidades potencialmente graves a su catálogo.
El primero de ellos, CVE-2022-37969, una vulnerabilidad de elevación de privilegios en el controlador del sistema de archivos de registro comunes de Windows que afecta a todas las versiones de Windows y, si se explota con éxito, un atacante podría obtener privilegios a nivel del sistema. Esto fue abordado por Microsoft en su actualización Patch Tuesday de septiembre.
La segunda, CVE-2022-32197, es una vulnerabilidad en Apple iOS, iPadOS y macOS que, si no se controla, permite que una aplicación ejecute código con privilegios de kernel.
