La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha añadido seis vulnerabilidades a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), señalando la presencia de pruebas de explotación activa.
Entre estas, destaca CVE-2023-27524 (puntuación CVSS: 8,9), una vulnerabilidad de alta gravedad que afecta al software de visualización de datos de código abierto Apache Superset y que podría permitir la ejecución remota de código. Esta vulnerabilidad fue abordada en la versión 2.1.
Los detalles de este problema salieron a la luz por primera vez en abril de 2023, cuando Naveen Sunkavally de Horizon3.ai lo describió como una “configuración predeterminada peligrosa en Apache Superset que permite a un atacante no autenticado obtener ejecución remota de código, recopilar credenciales y comprometer datos”. Este agregado al catálogo KEV subraya la importancia de abordar y parchar activamente las vulnerabilidades conocidas para fortalecer la ciberseguridad en sistemas críticos.
En la actualidad, no se tiene conocimiento de cómo se está explotando la vulnerabilidad en la naturaleza. CISA ha añadido además otras cinco fallas significativas a su catálogo:
- CVE-2023-38203 (puntuación CVSS: 9,8): Vulnerabilidad de deserialización de datos no confiables en Adobe ColdFusion.
- CVE-2023-29300 (puntuación CVSS: 9,8): Vulnerabilidad de deserialización de datos no confiables en Adobe ColdFusion.
- CVE-2023-41990 (puntuación CVSS: 7,8): Vulnerabilidad de ejecución de código en múltiples productos de Apple.
- CVE-2016-20017 (puntuación CVSS: 9,8): Vulnerabilidad de inyección de comandos en dispositivos D-Link DSL-2750B.
- CVE-2023-23752 (puntuación CVSS: 5,3): Vulnerabilidad de control de acceso inadecuado en Joomla!
Es importante resaltar que CVE-2023-41990, ya parcheado por Apple en iOS 15.7.8 e iOS 16.3, fue utilizado por actores desconocidos en la Operación Triangulación, una campaña de software espía. En esta, se lograba la ejecución remota de código al procesar un archivo adjunto PDF de iMessage especialmente diseñado.
Se ha aconsejado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones correspondientes antes del 29 de enero de 2024, con el fin de resguardar sus redes ante posibles amenazas activas. Este paso se presenta como una medida clave para mantener la seguridad frente a exploits conocidos.