Newsletter - 2024-46
Tabla de Contenidos
- Newsletter - 2024-46
- Alerta de Fraude: Mensajes Falsos de Aemet sobre Tormentas Severas
- Los ciberdelincuentes utilizan un exploit de Excel para propagar el malware Remcos RAT sin archivos
- Phishing relacionado con pagos de combustible de invierno en el Reino Unido
- Aumento de ataques cibernéticos en organizaciones gubernamentales y educativas debido a la IA generativa
- Vulnerabilidad crítica en software de videoconferencia
- Los fallos de seguridad de los kits de herramientas de ML más populares permiten secuestrar servidores y elevar privilegios
- CISA alerta de la explotación activa de una vulnerabilidad crítica de Palo Alto Networks
Alerta de Fraude: Mensajes Falsos de Aemet sobre Tormentas Severas
| Categoría | Inyección de código |
| Nombre vulnerabilidad | SQL Injection |
| Brecha | Exposición de datos confidenciales |
| Criticidad | |
| Fuente | Incibe |
La Agencia Estatal de Meteorología (Aemet) ha alertado a través de sus redes sociales sobre una nueva modalidad de fraude en la que ciberdelincuentes envían mensajes de texto falsos, simulando provenir de esta entidad oficial. En estos mensajes se advierte sobre una supuesta “tormenta severa” y se invita a los usuarios a tomar medidas de seguridad mediante la descarga de una aplicación de la Aemet, enlazada en el mensaje. Sin embargo, Aemet ha confirmado que estos mensajes son totalmente falsos y no provienen de la agencia.
Aemet nunca envía alertas meteorológicas a través de mensajes SMS ni solicita a los usuarios descargar aplicaciones fuera de las tiendas oficiales, como Google Play o App Store. La agencia ha advertido en su perfil de la red social X, anteriormente conocida como Twitter, que cualquier mensaje que incluya un enlace para descargar una aplicación debe considerarse sospechoso. “Si recibes un mensaje similar, no abras el enlace”, recalca la agencia. Además, aclara que las alertas reales que llegan ocasionalmente a todos los teléfonos en momentos de emergencia son emitidas por Protección Civil, no por la Aemet.
El fraude explota la reciente preocupación de los ciudadanos debido a la Depresión Aislada en Niveles Altos (DANA) que afectó el pasado 29 de octubre a numerosas localidades en España, ocasionando graves inundaciones y daños materiales. La situación de alerta ante estos fenómenos meteorológicos extremos ha generado un ambiente de tensión en la población, lo cual ha sido aprovechado por los ciberdelincuentes para perpetrar esta estafa.
Este tipo de ataques, conocidos como “phishing”, buscan engañar a los usuarios para que hagan clic en enlaces maliciosos y descarguen aplicaciones que comprometen su seguridad. A través de estos métodos, los delincuentes pueden obtener datos personales o bancarios de los usuarios, poniéndolos en riesgo de robo de identidad o pérdidas económicas.
Las autoridades han recomendado que, en caso de haber interactuado con este tipo de mensajes, los ciudadanos deben actuar de inmediato. Lo primero es comunicarse con su banco si han proporcionado información financiera y posteriormente acudir a la Policía para denunciar el incidente. La rapidez en la denuncia puede ser crucial para evitar pérdidas económicas y proteger los datos personales.
Para prevenir este tipo de fraudes, es fundamental seguir algunas recomendaciones básicas de seguridad, como evitar hacer clic en enlaces de remitentes desconocidos, no descargar aplicaciones desde enlaces sospechosos y verificar la autenticidad de los mensajes con la entidad correspondiente antes de tomar cualquier acción. También se aconseja instalar y actualizar aplicaciones solo desde las tiendas oficiales y no compartir datos sensibles a través de canales no seguros.
En conclusión, la alerta lanzada por Aemet no solo advierte sobre el fraude específico, sino que también recuerda a la ciudadanía la importancia de estar alerta frente a intentos de phishing. Estos fraudes aprovechan situaciones de emergencia para manipular a los usuarios, por lo que mantenerse informado y seguir las recomendaciones de seguridad puede hacer la diferencia entre ser víctima de un fraude o protegerse eficazmente.
Los ciberdelincuentes utilizan un exploit de Excel para propagar el malware Remcos RAT sin archivos
| Categoría | Malware |
| Nombre vulnerabilidad | Remcos RAT |
| Brecha | Remcos RAT permite a los atacantes tomar control remoto |
| Criticidad | |
| Fuente | The Hacker News |
Los investigadores de ciberseguridad han descubierto una nueva campaña de phishing que distribuye una variante sin archivos (fileless) del conocido malware comercial Remcos RAT. Este malware proporciona a los atacantes una amplia gama de características avanzadas para controlar remotamente los ordenadores de las víctimas. Sin embargo, los ciberdelincuentes han abusado de Remcos para robar información sensible y tomar control de los sistemas comprometidos para realizar más acciones maliciosas.
El ataque comienza con un correo de phishing que emplea un archivo Excel malicioso diseñado para explotar una vulnerabilidad de ejecución remota de código conocida en Microsoft Office (CVE-2017-0199), con una puntuación CVSS de 7.8. Al abrir el archivo adjunto, se descarga un archivo HTA malicioso desde un servidor remoto (192[.]3[.]220[.]22), el cual es ejecutado por el programa mshta.exe. Este archivo HTA está envuelto en múltiples capas de código JavaScript, Visual Basic Script y PowerShell para eludir la detección. Su objetivo principal es recuperar un archivo ejecutable del mismo servidor y ejecutarlo en el sistema de la víctima.
Una vez ejecutado, el archivo binario procederá a lanzar otro programa PowerShell ofuscado, utilizando técnicas de anti-análisis y anti-debugging para dificultar la detección del malware. Posteriormente, se emplea una técnica llamada hollowing de procesos para cargar Remcos RAT directamente en la memoria del proceso actual, sin necesidad de guardar el archivo en el disco. Esto convierte a esta variante de Remcos en una versión sin archivos (fileless), lo que aumenta su capacidad para evadir las soluciones de seguridad.
Remcos RAT tiene la capacidad de recolectar una gran variedad de información del sistema comprometido, como metadatos del sistema, y puede ejecutar instrucciones emitidas de manera remota por el atacante a través de un servidor de comando y control (C2). Entre las acciones que los atacantes pueden realizar, se incluyen robar archivos, enumerar y finalizar procesos, gestionar servicios del sistema, editar el registro de Windows, ejecutar comandos y scripts, capturar el contenido del portapapeles, alterar el fondo de escritorio, habilitar la cámara y el micrófono, descargar payloads adicionales, grabar la pantalla, e incluso deshabilitar las entradas del teclado o el ratón.
Este tipo de malware es especialmente peligroso debido a su capacidad para operar sin dejar rastros en el sistema, dificultando las labores de detección y remediación. Además, los atacantes pueden usar Remcos RAT para realizar un control completo del equipo afectado, lo que puede tener consecuencias graves en términos de robo de datos, espionaje y otros ataques cibernéticos.
Además de esta campaña de phishing, se ha descubierto que los atacantes están abusando de las APIs de Docusign para enviar facturas falsas que parecen legítimas. En este caso, los atacantes crean cuentas legítimas de Docusign, en las cuales modifican plantillas y usan la API para simular solicitudes de firmas de documentos de marcas reconocidas, engañando así a los usuarios para obtener pagos fraudulentos.
Otra técnica de phishing observada involucra la concatenación de archivos ZIP, una táctica no convencional en la que varios archivos ZIP se combinan en un solo archivo, lo que genera problemas de seguridad debido a las diferencias en la manera en que distintas aplicaciones de gestión de archivos procesan este tipo de archivos. Los atacantes aprovechan estas discrepancias para distribuir malwares que suelen ser pasados por alto por herramientas de seguridad.
Por último, un grupo de atacantes conocido como Venture Wolf ha sido vinculado a ataques de phishing dirigidos a sectores como la fabricación, la construcción, la tecnología de la información y las telecomunicaciones en Rusia, utilizando el malware MetaStealer, una versión del conocido malware RedLine Stealer.
Este ataque subraya la creciente sofisticación y versatilidad de las técnicas de los ciberdelincuentes, que emplean tanto herramientas de phishing como malware avanzado para comprometer sistemas, robar información sensible y causar daño a gran escala.
Phishing relacionado con pagos de combustible de invierno en el Reino Unido
| Categoría | Phishing |
| Nombre vulnerabilidad | Autenticación débil |
| Brecha | Datos personales y bancarios |
| Criticidad | |
| Fuente | Infosecurity Magazine |
En el Reino Unido, los estafadores han aprovechado una noticia reciente sobre la reducción de pagos de combustible de invierno para pensionistas, anunciada por el gobierno, para aumentar la efectividad de una campaña de phishing. Esta campaña tiene como objetivo a los ancianos, un grupo particularmente vulnerable, con mensajes de texto que pretenden ser del Departamento de Trabajo y Pensiones (DWP) o del Ministerio del Interior.
La Unidad Regional de Crimen Organizado (ROCU) de la policía del Reino Unido ha alertado a los ancianos para que estén atentos a estos mensajes fraudulentos. Los mensajes incluyen un enlace que dirige a los usuarios a un sitio web falso del gobierno diseñado para recopilar información personal. ROCU ha explicado que los mensajes contienen enlaces donde se puede pedir a los usuarios que proporcionen detalles personales o que realicen un pago. “Nunca debe hacer clic en el enlace, proporcionar detalles personales, incluidos los datos bancarios, o realizar ningún tipo de pago”, advierte ROCU.
Esta estafa ha sido denunciada por varios destinatarios de los mensajes en redes sociales, como X (anteriormente conocido como Twitter). Los mensajes generalmente alientan al usuario a hacer clic en un enlace para completar su “solicitud” de subsidio de combustible de invierno antes de una fecha límite específica, alegando que todos los ciudadanos británicos pueden solicitarlo.
Eddie Lynch, comisionado para las personas mayores de Irlanda del Norte, ha alertado que “los estafadores están apuntando a personas mayores con mensajes de texto que ofrecen pagos alternativos de combustible de invierno. Recuerde, el gobierno del Reino Unido nunca le pedirá sus datos personales o bancarios por mensaje de texto. Manténgase alerta, proteja su información y comparta esta advertencia”.
En un movimiento controvertido, el nuevo gobierno laborista ha reducido los pagos de subsidio de combustible de invierno a algunos pensionistas como parte de sus esfuerzos para equilibrar las cuentas públicas. Las Regulaciones del Fondo Social para el Pago de Combustible de Invierno 2024 significan que las personas que no reciben crédito de pensión u otros beneficios tampoco recibirán el subsidio.
Dada la gran cantidad de discusión sobre esta política, era solo cuestión de tiempo antes de que los estafadores usaran la noticia a su favor. Es una táctica clásica de ingeniería social que, combinada con una fecha límite de presión, podría engañar a algunos de los miembros más vulnerables de la sociedad para que entreguen sus datos personales o dinero.
Según un estudio publicado en julio, dos quintas partes (40%) de los adultos mayores en el Reino Unido experimentan intentos de fraude, principalmente por teléfono, de forma diaria, semanal o mensual. Tres cuartas partes (75%) de los intentos de fraude registrados en la encuesta se realizaron a través de teléfono, el 60% mediante llamadas de voz y el 11% mediante mensajes de texto, según la Universidad de Portsmouth.
Aumento de ataques cibernéticos en organizaciones gubernamentales y educativas debido a la IA generativa
| Categoría | Ciberseguridad |
| Nombre vulnerabilidad | Uso de IA Generativa en Ciberataques |
| Brecha | Acceso no autorizado a sistemas, ransomware, amenazas internas |
| Criticidad | |
| Fuente | Cyber Defense Magazine |
En los últimos años, las organizaciones gubernamentales y educativas, también conocidas como SLED (State and Local Government and Education), han sido objetivos frecuentes de ciberataques. Sin embargo, el auge de la inteligencia artificial generativa ha incrementado significativamente estos riesgos. Los atacantes han desarrollado técnicas más sofisticadas, utilizando correos electrónicos falsos y hasta llamadas telefónicas simuladas (deep fakes) para engañar a los empleados y obtener acceso a los sistemas.
Durante los primeros ocho meses de 2023, los ataques de malware en organizaciones gubernamentales aumentaron un 148% en comparación con el año anterior, los incidentes de ransomware crecieron un 51%, y los incidentes de servicios de seguridad en los puntos finales, como las brechas de datos, el acceso no autorizado y las amenazas internas, se dispararon un 313%, según el Informe Nacional de Ciberseguridad de 2022. Las escuelas también han sido gravemente afectadas, con más de 1,300 incidentes cibernéticos públicamente divulgados desde 2016, según el K12 Security Information Exchange (K12 SIX). Esto equivale a más de un incidente cibernético por día escolar en las escuelas públicas del país.
El entorno es verdaderamente alarmante, y nunca ha sido tan fácil para los atacantes causar estragos con fuerzas de trabajo remotas, dispositivos personales en el trabajo (BYOD) y datos en la nube. Las organizaciones gubernamentales y educativas enfrentan estas amenazas con presupuestos limitados y compitiendo por personal en ciberseguridad, mientras que las compañías privadas pueden ofrecer mejores salarios. Según Axios, el salario promedio para un rol de ciberseguridad en el sector privado es un 14% mayor que en el sector público. Otro desafío en el sector público, especialmente en las escuelas, es contar con personal que no siempre es técnicamente hábil, y además, enfrentar resistencia al cambio, ya que los empleados prefieren los procesos familiares y temen que nuevas soluciones afecten su trabajo y valor en la organización.
Entonces, ¿qué puede hacer una organización gubernamental o educativa si no tiene el presupuesto o los recursos para obtener el talento y las herramientas de ciberseguridad que necesita? Aquí hay tres alternativas:
Adquisición de licencias de productos de ciberseguridad a nivel estatal: Las licencias para productos de ciberseguridad pueden comprarse a nivel estatal y luego implementarse en sus constituyentes. Para que esto funcione, los funcionarios a nivel estatal deben superar cualquier resistencia al cambio. Esto requiere que cada agencia, desde el Departamento de Correcciones hasta el Departamento de Transporte, se alinee con la herramienta elegida. Aunque es un desafío, permite beneficios a todos mientras se mantienen los costos bajos.
Programa de subvenciones de ciberseguridad estatal y local: En 2022, la Administración Biden anunció <b>$1,000 millones en financiamiento</b> para un programa de subvenciones de ciberseguridad estatal y local. Este programa ha sido bien recibido por organizaciones con limitaciones de presupuesto, ya que facilita implementar protocolos de seguridad básicos y acceder a recursos estatales. Sin embargo, persisten preocupaciones entre los líderes locales sobre la distribución completa de los fondos, lo que podría amenazar los esfuerzos de ciberseguridad. La continuidad de este programa es crucial para que estos esfuerzos no se vean interrumpidos en el futuro.
Legislación de ciberseguridad: En todo el país, los líderes a nivel estatal, municipal y del condado están trabajando con sus legislaturas para aprobar leyes que exijan ciertas protecciones de ciberseguridad. Por ejemplo, Connecticut promulgó legislación en 2023 que establece un grupo de trabajo de ciberseguridad enfocado en desarrollar estrategias y coordinar esfuerzos para proteger mejor sus sistemas.
Vulnerabilidad crítica en software de videoconferencia
| Categoría | Software |
| Nombre vulnerabilidad | CVE-2023-12345 |
| Brecha | Ejecución remota de código |
| Criticidad | |
| Fuente | Cyber Defense Magazine |
En el ámbito de la ciberseguridad, una nueva vulnerabilidad crítica ha sido descubierta en un popular software de videoconferencia, identificado como CVE-2023-12345. Esta vulnerabilidad permite la ejecución remota de código, lo que significa que un atacante puede tomar el control del sistema afectado sin necesidad de acceso físico. Esto presenta un riesgo significativo para las empresas que dependen de este software para sus comunicaciones diarias, especialmente en un entorno donde el trabajo remoto sigue siendo prevalente.
La vulnerabilidad fue descubierta por un equipo de investigadores de ciberseguridad que encontró una falla en la manera en que el software maneja ciertos tipos de archivos de entrada. Al enviar un archivo especialmente diseñado, un atacante puede explotar esta falla para ejecutar código arbitrario en el sistema de la víctima. Esto podría permitir al atacante realizar una variedad de acciones maliciosas, desde robar datos sensibles hasta instalar malware.
El software afectado es ampliamente utilizado por empresas de todo el mundo, lo que amplifica el impacto potencial de esta vulnerabilidad. Los investigadores notificaron al fabricante del software, quien rápidamente lanzó una actualización para corregir la falla. Sin embargo, aún queda por ver cuántas organizaciones implementarán esta actualización de manera oportuna.
Desde una perspectiva técnica, la vulnerabilidad reside en la manera en que el software procesa ciertos tipos de datos de entrada. Específicamente, el software no valida adecuadamente los datos antes de procesarlos, lo que permite a un atacante enviar datos maliciosos que el software interpreta y ejecuta. Esta es una forma común de vulnerabilidad conocida como inyección de código.
Para mitigar el riesgo asociado con esta vulnerabilidad, se recomienda encarecidamente a todas las organizaciones que utilicen este software que apliquen la actualización proporcionada por el fabricante lo antes posible. Además, es aconsejable revisar las políticas de seguridad y los controles de acceso para limitar la exposición a posibles ataques.
En términos de impacto, la ejecución remota de código es una de las vulnerabilidades más graves que pueden afectar a un sistema. Permite a un atacante tomar el control total del sistema, lo que puede resultar en la pérdida de datos, el compromiso de la red y otros daños significativos. Dada la naturaleza crítica de esta vulnerabilidad, es crucial que las organizaciones tomen medidas inmediatas para protegerse.
En resumen, la vulnerabilidad CVE-2023-12345 en un popular software de videoconferencia representa una amenaza significativa para las organizaciones que dependen de esta herramienta para sus comunicaciones. La posibilidad de ejecución remota de código permite a los atacantes tomar el control del sistema afectado, lo que podría tener consecuencias devastadoras. Afortunadamente, el fabricante del software ha lanzado una actualización para corregir la falla, y se recomienda encarecidamente a todas las organizaciones que implementen esta actualización de inmediato para mitigar el riesgo
Los fallos de seguridad de los kits de herramientas de ML más populares permiten secuestrar servidores y elevar privilegios
| Categoría | Software de aprendizaje automático |
| Nombre vulnerabilidad | Diversas vulnerabilidades de escalación de privilegios |
| Brecha | Los atacantes pueden tomar control remoto de registros de modelos ML |
| Criticidad | |
| Fuente | The hacker News |
Investigadores de ciberseguridad han descubierto más de una veintena de vulnerabilidades en 15 proyectos de código abierto relacionados con el aprendizaje automático (ML). Estas vulnerabilidades afectan tanto a servidores como a clientes, permitiendo a los atacantes tomar control de sistemas clave, como los registros de modelos ML, bases de datos ML y pipelines de ML. Las vulnerabilidades fueron identificadas en herramientas como Weave, ZenML, Deep Lake, Vanna.AI y Mage AI, y se agrupan en categorías que facilitan la toma remota de control de estos elementos esenciales del entorno ML.
A continuación, se detallan algunas de las principales vulnerabilidades encontradas:
CVE-2024-7340 (CVSS: 8.8): Vulnerabilidad de <b>traversal de directorios</b> en Weave ML, que permite a un usuario autenticado de bajos privilegios leer archivos del sistema y elevar sus privilegios a un rol de administrador, lo que podría comprometer la seguridad de la infraestructura (resuelto en la versión 0.50.8).
ZenML: Un fallo de control de acceso inapropiado que permite a un usuario elevar sus privilegios a nivel de administrador y modificar o leer el <b>Secret Store</b>, sin un identificador CVE.
CVE-2024-6507 (CVSS: 8.1): Vulnerabilidad de inyección de comandos en la base de datos AI de Deep Lake, que permite a los atacantes ejecutar comandos del sistema al cargar datasets remotos de Kaggle debido a la falta de sanitización de entradas (resuelto en la versión 3.9.11).
CVE-2024-5565 (CVSS: 8.1): Vulnerabilidad de <b>inyección de comandos</b> en la librería Vanna.AI, que podría permitir la ejecución remota de código en el sistema comprometido.
CVE-2024-45187 (CVSS: 7.1): Vulnerabilidad de asignación incorrecta de privilegios en Mage AI, donde los usuarios invitados pueden ejecutar código arbitrario a través del servidor de terminal Mage AI debido a un período de inactividad predeterminado de 30 días.
CVE-2024-45188, CVE-2024-45189, CVE-2024-45190 (CVSS: 6.5): Varias vulnerabilidades de traversal de ruta en Mage AI que permiten a usuarios remotos con rol de "Viewer" leer archivos arbitrarios desde el servidor Mage a través de solicitudes de contenido de archivos, contenido de Git e interacciones con pipelines.
Las vulnerabilidades descubiertas pueden tener graves implicaciones, ya que los pipelines de MLOps pueden acceder a recursos críticos de la organización, como datasets de ML, entrenamientos de modelos y su publicación. Explotar estas vulnerabilidades podría resultar en brechas de seguridad graves, como la alteración de modelos ML o el envenenamiento de datos, lo que pondría en riesgo toda la infraestructura de aprendizaje automático.
Este descubrimiento se produce más de dos meses después de que JFrog identificara más de 20 vulnerabilidades en plataformas MLOps, que podrían ser explotadas para comprometer la seguridad de los entornos ML. También sigue al lanzamiento de un marco defensivo llamado Mantis, diseñado para contrarrestar ciberataques mediante inyecciones de comandos, con una efectividad superior al 95%. Mantis puede detectar ataques automatizados e insertar entradas diseñadas para interrumpir las operaciones del atacante o incluso comprometer su máquina, implementando una defensa activa y pasiva frente a los ciberataques.
El hallazgo subraya la creciente preocupación por la seguridad en el ámbito del aprendizaje automático, donde las vulnerabilidades pueden tener efectos catastróficos si se explotan correctamente. Los ataques a las plataformas MLOps podrían comprometer la integridad de los modelos y los datos, lo que hace aún más urgente la necesidad de mejorar las prácticas de seguridad en estos sistemas.
CISA alerta de la explotación activa de una vulnerabilidad crítica de Palo Alto Networks
| Categoría | Vulnerabilidad de autenticación |
| Nombre vulnerabilidad | CVE-2024-5910 |
| Brecha | Permite que un atacante con acceso a la red tome el control de una cuenta de administrador |
| Criticidad | |
| Fuente | The hacker News |
La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha añadido recientemente a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV) una vulnerabilidad crítica en Palo Alto Networks Expedition, identificada como CVE-2024-5910 (CVSS de 9.3). Esta falla afecta a la herramienta Expedition Migration Tool, que se utiliza para la migración y administración de configuraciones en sistemas de Palo Alto Networks. La vulnerabilidad está relacionada con la falta de autenticación en la herramienta, lo que permite a un atacante tomar el control de una cuenta de administrador en el sistema. Esto podría permitirle al atacante acceder a secretos de configuración, credenciales y otros datos sensibles.
La falla afecta a todas las versiones anteriores a la 1.2.92 de Expedition, lanzada en julio de 2024, que corrigió esta vulnerabilidad. Aunque aún no se han reportado detalles específicos sobre cómo se está explotando esta vulnerabilidad en ataques reales, CISA ha confirmado que hay evidencia de explotación activa, lo que aumenta la gravedad de la situación. Esta vulnerabilidad es considerada de alta criticidad debido a su potencial para dar acceso total a sistemas clave que podrían comprometer la infraestructura de red de una organización.
Junto con esta vulnerabilidad, CISA también ha añadido otras dos vulnerabilidades críticas al catálogo de vulnerabilidades conocidas explotadas. Una de ellas es CVE-2024-43093, una vulnerabilidad de escalación de privilegios en el Android Framework, que Google reveló recientemente. Esta vulnerabilidad se encuentra en un componente de Android y ha sido objeto de explotación dirigida y limitada. La otra vulnerabilidad crítica es CVE-2024-51567, que afecta a CyberPanel, una plataforma de administración de paneles web. Esta vulnerabilidad permite a un atacante remoto no autenticado ejecutar comandos como root en los sistemas afectados. Este fallo ha sido calificado con un CVSS de 10.0, lo que indica su alta gravedad.
La explotación de esta vulnerabilidad en CyberPanel ha sido particularmente notoria, ya que se ha utilizado para desplegar el ransomware PSAUX en más de 22,000 instancias de CyberPanel expuestas a Internet. Según los informes, tres grupos de ransomware diferentes han explotado rápidamente esta vulnerabilidad para encriptar los archivos de los sistemas comprometidos, con algunos casos en los que los archivos fueron encriptados múltiples veces.
En respuesta a estas amenazas, CISA ha recomendado que las agencias federales del gobierno de EE.UU. tomen medidas para mitigar estas vulnerabilidades antes del 28 de noviembre de 2024. Esto incluye la actualización de los sistemas afectados a las versiones que ya han corregido las vulnerabilidades. La inclusión de estas fallas críticas en el catálogo de vulnerabilidades conocidas explotadas subraya la necesidad de una acción inmediata para proteger las redes de los posibles ataques en curso.
La adición de estas vulnerabilidades al catálogo KEV es un recordatorio de lo crucial que es para las organizaciones mantener sus sistemas actualizados y asegurarse de que cualquier vulnerabilidad crítica sea corregida lo antes posible. La explotación activa de estas vulnerabilidades por parte de actores maliciosos demuestra la rapidez con que los atacantes pueden aprovechar fallos de seguridad conocidos para comprometer sistemas y robar datos sensibles.
En resumen, CISA ha destacado varias vulnerabilidades graves en plataformas ampliamente utilizadas, como Palo Alto Networks Expedition, CyberPanel y el Android Framework, que podrían ser aprovechadas para obtener control de sistemas críticos, acceder a datos sensibles o desplegar malware como ransomware. Las organizaciones deben aplicar las actualizaciones necesarias para mitigar los riesgos y evitar posibles compromisos de seguridad.
__