La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes cinco fallas de seguridad a su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), citando evidencia de explotación activa en la naturaleza.

Esto incluye tres fallas de alta gravedad en el software Veritas Backup Exec Agent (CVE-2021-27876, CVE-2021-27877 y CVE-2021-27878) que podrían conducir a la ejecución de comandos privilegiados en el sistema subyacente. Las fallas se solucionaron en un parche lanzado por Veritas en marzo de 2021.

• CVE-2021-27876 (puntuación CVSS: 8,1): vulnerabilidad de acceso a archivos del agente de Veritas Backup Exec
• CVE-2021-27877 (puntuación CVSS: 8,2): vulnerabilidad de autenticación incorrecta del agente de Veritas Backup Exec
• CVE-2021-27878 (puntuación CVSS: 8,8): vulnerabilidad de ejecución de comandos del agente de Veritas Backup Exec

Mandiant, propiedad de Google, en un informe publicado la semana pasada, reveló que un afiliado asociado con la operación de ransomware BlackCat (también conocido como ALPHV y Noberus) está apuntando a las instalaciones de Veritas Backup Exec expuestas públicamente para obtener acceso inicial aprovechando los tres errores antes mencionados.

La firma de inteligencia de amenazas, que está rastreando al actor afiliado bajo su nombre no categorizado UNC4466, dijo que observó por primera vez la explotación de las fallas en la naturaleza el 22 de octubre de 2022.

En un incidente detallado por Mandiant, UNC4466 obtuvo acceso a un servidor de Windows expuesto a Internet, y luego llevó a cabo una serie de acciones que permitieron al atacante implementar la carga útil del ransomware basado en Rust, pero no antes de realizar un reconocimiento, escalar privilegios y deshabilitar Capacidad de monitoreo en tiempo real de Microsoft Defender.

CISA también agregó al catálogo de KEV CVE-2019-1388 (puntaje CVSS: 7.8), una falla de escalada de privilegios que afecta el diálogo de certificado de Microsoft Windows que podría explotarse para ejecutar procesos con permisos elevados en un host ya comprometido.

La quinta vulnerabilidad incluida en la lista es una falla de divulgación de información en el controlador del núcleo de GPU Arm Mali ( CVE-2023-26083 ) que fue revelado por el Grupo de análisis de amenazas (TAG) de Google el mes pasado como abusado por un proveedor de spyware no identificado como parte de un exploit. cadena para entrar en los teléfonos inteligentes Android de Samsung.

Las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen tiempo hasta el 28 de abril de 2023 para aplicar los parches para proteger sus redes contra amenazas potenciales.

El aviso también se produce cuando Apple lanzó actualizaciones para iOS, iPadOS, macOS y el navegador web Safari para abordar un par de fallas de día cero (CVE-2023-28205 y CVE-2023-28206) que dijo que ha sido explotado en real- ataques mundiales.

Actualizar:

CISA, el 10 de abril de 2023, agregó las dos vulnerabilidades de día cero de Apple al catálogo de KEV, instando a las agencias de FCEB a proteger los dispositivos iOS, iPadOS y macOS antes del 1 de mayo de 2023.

Fuente y redacción: thehackernews.com