La agencia de ciberseguridad de EE. UU., CISA, alertó el miércoles sobre actores maliciosos que están explotando vulnerabilidades conocidas en GeoServer, el kernel de Linux y Roundcube Webmail.
Vulnerabilidad en GeoServer
La falla en GeoServer, identificada como CVE-2022-24816 con una puntuación CVSS de 9.8, es un fallo de inyección de código en el proyecto de código abierto Jai-Ext que podría ser explotado para ejecutar código remoto.
Este problema está relacionado con el uso del lenguaje de script Jiffle: los scripts Jiffle se compilan en código Java a través de Janino y luego se ejecutan.
En abril de 2022 se lanzó la versión 1.2.22 de GeoServer con un parche que deshabilitaba la capacidad de inyectar código malicioso en el script resultante.
Información técnica sobre CVE-2022-24816 y el código de prueba de concepto (PoC) han estado disponibles desde agosto de 2022.
Vulnerabilidad en el Kernel de Linux
Identificada como CVE-2022-2586 con una puntuación CVSS de 7.8, la falla en el kernel de Linux es un problema de uso después de liberar en las tablas nft que podría llevar a una escalada de privilegios.
“Un objeto o expresión nft podría referenciar un conjunto nft en una tabla nft diferente, lo que lleva a un uso después de liberar una vez que se elimina esa tabla,” indica un aviso de NIST.
La falla se demostró en Pwn2Own Vancouver en mayo de 2022 y se parchó a principios de agosto de ese año. Tres semanas después, se publicaron los primeros detalles técnicos y el código PoC dirigido a CVE-2022-2586.
Vulnerabilidad en Roundcube Webmail
CISA también advirtió el miércoles sobre la explotación de una vulnerabilidad de cuatro años de antigüedad en las versiones de Roundcube Webmail anteriores a la 1.4.5 y 1.3.12, identificada como CVE-2020-13965 con una puntuación CVSS de 6.1.
La vulnerabilidad se describe como un problema de scripting entre sitios (XSS) que puede desencadenarse a través de archivos adjuntos XML maliciosos, debido a que el software de webmail de código abierto permite tipos de texto/xml para vista previa, lo que podría llevar a una elusión de filtros de scripts y ejecución arbitraria de código JavaScript.
Roundcube lanzó parches para la falla a principios de junio de 2020 y el código PoC se publicó poco después.
Acciones Recomendadas por CISA
CISA agregó los tres defectos de seguridad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 26 de junio, instando a las agencias federales – según la Directiva Operativa Vinculante (BOD) 22-01 – a aplicar las mitigaciones disponibles o eliminar los productos vulnerables de sus entornos para el 17 de julio.
“Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y representan riesgos significativos para la empresa federal,” advirtió CISA.
Aunque la BOD 22-01 solo se aplica a las agencias federales, se aconseja a todas las organizaciones que utilicen los productos vulnerables abordar los problemas señalados lo antes posible.
Cabe mencionar que, aunque el código PoC dirigido a estas fallas ha estado disponible durante años, no ha habido informes de que alguna de ellas haya sido explotada antes de la advertencia de CISA.
Fuente: somoslibres
