La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha poner una falla de seguridad que afecta a Versa Director en sus vulnerabilidades conocidas explotadas (K.E.V.) catálogo basado en evidencia de explotación activa.
La vulnerabilidad de gravedad media, rastreada como CVE-2024-39717 (Puntuación CVSS: 6.6), es un caso de un error de carga de archivos que afecta la funcionalidad «Editar Favicon» y que podría permitir a un actor malintencionado cargar un archivo malicioso haciéndolo pasar por un archivo de imagen PNG aparentemente inofensivo.
«La GUI de Versa Director contiene carga de archivos sin restricciones con una vulnerabilidad de tipo peligroso que permite a los administradores con privilegios de Administrador del centro de datos de proveedor o Administrador del sistema de centro de datos de proveedor personalizar la interfaz de usuario», dijo CISA en un aviso.
“La opción “Cambiar Favicon” permite la descarga de un archivo .png, que puede aprovecharse para descargar un archivo malicioso con una extensión .PNG disfrazado de imagen. »
Sin embargo, la explotación exitosa solo es posible después de que un usuario con privilegios Provider-Data-Center-Admin o Provider-Data-Center-System-Admin se haya autenticado e iniciado sesión correctamente.
Aunque las circunstancias exactas que rodearon la explotación de CVE-2024-39717 no están claras, una descripción de la vulnerabilidad en la Base de datos nacional de vulnerabilidad (NVD) del NIST indica que Versa Networks tiene conocimiento de un caso confirmado en el que un cliente fue atacado.
«Este cliente no ha implementado las pautas de firewall emitidas en 2015 y 2017″, indica la descripción. “Esta falla en la implementación permitió al actor de amenazas explotar esta vulnerabilidad sin usar la GUI. »
Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben tomar medidas para protegerse contra la infracción mediante la implementación de parches proporcionados por los proveedores antes del 13 de septiembre de 2024.
Este avance se produce días después de la publicación del CISA. agregado cuatro vulnerabilidades de seguridad de 2021 y 2022 en su catálogo KEV –
- CVE-2021-33044 (Puntuación CVSS: 9,8) – Vulnerabilidad de omisión de autenticación de la cámara IP Dahua
- CVE-2021-33045 (Puntuación CVSS: 9,8) – Vulnerabilidad de omisión de autenticación de la cámara IP Dahua
- CVE-2021-31196 (Puntuación CVSS: 7.2) – Vulnerabilidad de divulgación de información de Microsoft Exchange Server
- CVE-2022-0185 (Puntuación CVSS: 8.4) – Vulnerabilidad de desbordamiento del búfer basado en el montón del kernel de Linux
Vale la pena señalar que Mandiant, propiedad de Google, atribuyó a un actor de amenazas vinculado a China llamado UNC5174 (también conocido como Uteus o Uetus) la explotación de CVE-2022-0185 a principios de este marzo.
CVE-2021-31196 fue originalmente revelado como parte de un gran conjunto de vulnerabilidades de Microsoft Exchange Server, rastreadas colectivamente como ProxyLogon, ProxyShell, ProxyToken y ProxyOracle.
«CVE-2021-31196 se ha observado en campañas de explotación activa, donde los actores de amenazas se dirigen a instancias de Microsoft Exchange Server sin parches», OP Innovate dicho“Estos ataques suelen tener como objetivo obtener acceso no autorizado a información confidencial, escalar privilegios o implementar otras cargas útiles como ransomware o malware. »
