La Agencia de Seguridad de la Ciberseguridad y la Infraestructura de EE. UU. (CISA, por sus siglas en inglés) ha agregado tres vulnerabilidades a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV, por sus siglas en inglés), en base a evidencia de explotación activa.
Las vulnerabilidades de seguridad son las siguientes:
CVE-2023-1389 (puntuación CVSS: 8,8) - Vulnerabilidad de Inyección de Comandos en el Router TP-Link Archer AX-21
CVE-2021-45046 (puntuación CVSS: 9.0) - Vulnerabilidad de Deserialización de Datos No Confiables en Apache Log4j2
CVE-2023-21839 (puntuación CVSS: 7.5) - Vulnerabilidad No Especificada en Oracle WebLogic Server
CVE-2023-1389 se refiere a un caso de inyección de comandos que afecta a los routers TP-Link Archer AX-21, que podrÃa ser explotado para lograr la ejecución remota de código. Según la Iniciativa Zero Day de Trend Micro, esta vulnerabilidad ha sido utilizada por actores de amenazas asociados con la botnet Mirai desde el 11 de abril de 2023. La segunda vulnerabilidad añadida al catálogo KEV es CVE-2021-45046, una vulnerabilidad de ejecución remota de código que afecta a la biblioteca de registro Apache Log4j2, que salió a la luz en diciembre de 2021.
Actualmente no está claro cómo se está abusando especÃficamente esta vulnerabilidad en la naturaleza, aunque los datos recopilados por GreyNoise muestran evidencia de intentos de explotación desde hasta 74 direcciones IP únicas en los últimos 30 dÃas. Sin embargo, esto también incluye CVE-2021-44228 (también conocida como Log4Shell).
Completando la lista se encuentra un error de alta gravedad en las versiones 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0 del Oracle WebLogic Server que podrÃa permitir el acceso no autorizado a datos sensibles. Fue parcheado por la compañÃa como parte de las actualizaciones lanzadas en enero de 2023. "Oracle WebLogic Server contiene una vulnerabilidad no especificada que permite a un atacante no autenticado con acceso a la red a través de T3, IIOP, comprometer Oracle WebLogic Server", dijo CISA.
Si bien existen exploits de prueba de concepto (PoC) para esta vulnerabilidad, no parecen haber informes públicos de explotación maliciosa. Las agencias del Ejecutivo Federal Civil (FCEB, por sus siglas en inglés) deben aplicar correcciones proporcionadas por los proveedores antes del 22 de mayo de 2023, para asegurar sus redes contra estas amenazas activas.
La advertencia también llega poco más de un mes después de que VulnCheck revelara que casi cuatro docenas de vulnerabilidades de seguridad que probablemente fueron armadas en la naturaleza en 2022 están ausentes del catálogo KEV.
De las 42 vulnerabilidades, la abrumadora mayorÃa está relacionada con la explotación por parte de botnets similares a Mirai (27), seguida de grupos de ransomware (6) y otros actores de amenazas (9).