Ciberseguridad 360 | CISA alerta sobre tres amenazas de Explotación Activa en productos Fortinet, Ivanti y Nice

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) incluy� el lunes tres fallos de seguridad en su cat�logo de Vulnerabilidades Explotadas Conocidas (KEV), citando pruebas de explotaci�n activa.

Las vulnerabilidades a�adidas son las siguientes

CVE-2023-48788 (puntuaci�n CVSS: 9,3) - Vulnerabilidad de inyecci�n SQL en Fortinet FortiClient EMS
CVE-2021-44529 (puntuaci�n CVSS: 9,8) - Vulnerabilidad de inyecci�n de c�digo en Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA)
CVE-2019-7256 (CVSS score: 10.0) - Vulnerabilidad de inyecci�n de comandos en el sistema operativo Nice Linear eMerge E3-Series

La falla que afecta a Fortinet FortiClient EMS sali� a la luz a principios de este mes, con la compa��a describi�ndola como una falla que podr�a permitir a un atacante no autenticado ejecutar c�digo o comandos no autorizados a trav�s de solicitudes espec�ficamente dise�adas.

Desde entonces, Fortinet ha revisado su aviso para confirmar que ha sido explotada in the wild, aunque actualmente no se dispone de m�s detalles sobre la naturaleza de los ataques.

CVE-2021-44529, por su parte, se refiere a una vulnerabilidad de inyecci�n de c�digo en Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA) que permite a un usuario no autenticado ejecutar c�digo malicioso con permisos limitados.

Una investigaci�n reciente publicada por el investigador de seguridad Ron Bowes indica que el fallo puede haber sido introducido como una puerta trasera intencionada en un proyecto de c�digo abierto ahora discontinuado llamado csrf-magic que exist�a al menos desde 2014.

CVE-2019-7256, que permite a un atacante llevar a cabo la ejecuci�n remota de c�digo en los controladores de acceso Nice Linear eMerge E3-Series, ha sido explotado por actores de amenazas ya en febrero de 2020.

Nice (anteriormente Nortek) solucion� este fallo, junto con otros 11, a principios de este mes. Dicho esto, estas vulnerabilidades fueron reveladas originalmente por el investigador de seguridad Gjoko Krstic en mayo de 2019.

A la luz de la explotaci�n activa de los tres fallos, las agencias federales est�n obligadas a aplicar las mitigaciones proporcionadas por los proveedores antes del 15 de abril de 2024.

La noticia llega cuando CISA y la Oficina Federal de Investigaci�n (FBI) publicaron una alerta conjunta, instando a los fabricantes de software a tomar medidas para mitigar los fallos de inyecci�n SQL.

El aviso destacaba espec�ficamente la explotaci�n de CVE-2023-34362, una vulnerabilidad cr�tica de inyecci�n SQL en MOVEit Transfer de Progress Software, por parte de la banda de ransomware Cl0p (alias Lace Tempest) para vulnerar miles de organizaciones.

"A pesar del amplio conocimiento y documentaci�n de las vulnerabilidades SQLi en las �ltimas dos d�cadas, junto con la disponibilidad de mitigaciones eficaces, los fabricantes de software contin�an desarrollando productos con este defecto, lo que pone en riesgo a muchos clientes", dijeron las agencias.

Fuente: thehackernews