En su más reciente reporte, la Agencia de Ciberseguridad y Seguridad de Infraestructura de E.U. (CISA) agregó 95 nuevas fallas de seguridad a su Catálogo de Vulnerabilidades Explotadas Conocidas, incluyendo múltiples fallas en enrutadores Cisco, bugs del sistema Windows y errores en Adobe Flash Player, entre otros problemas de seguridad.
La Agencia considera que estas fallas son vectores de ataque frecuentes y su explotación puede verse relacionada en múltiples intentos de ciberataques contra agencias federales en E.U.
CISA incluyó en su lista la falla CVE-2021-41379 en los sistemas Windows 11 y versiones anteriores. Esta es una falla de escalada de privilegios que la compañía corrigió recientemente, aunque aún existen miles de implementaciones Microsoft vulnerables.
Como se menciona anteriormente, las fallas en enrutadores Cisco son un tema frecuente en esta adición al catálogo de vulnerabilidades explotables. Esta semana, Cisco lanzó múltiples actualizaciones de firmware para abordar múltiples fallas en sus enrutadores, incluyendo una vulnerabilidad con puntaje de 10/10 según el Common Vulnerability Scoring System (CVSS).
Las fallas en productos Cisco habrían permitido a los atacantes ejecutar código malicioso, escalar sus privilegios en los sistemas afectados, evadir los mecanismos de autenticación y otras variantes de hacking.
La lista de fallas explotadas de CISA es importante para las agencias federales en E.U., ya que estas organizaciones están obligadas a actuar en correspondencia con las alertas de CISA dentro de un plazo determinado. En este caso, la fecha de vencimiento para aplicar estas actualizaciones de los proveedores es marzo, lo que sugiere cuán importante considera CISA que las agencias respondan con rapidez.
La lista actualizada de errores para parchear se convierte en parte de las recomendaciones de Shields Up de CISA, parte de su respuesta a los ataques de malware destructivos contra organizaciones ucranianas. CISA ha mostrado su preocupación sobre el uso de malware wiper como WhisperGate y HermeticWiper contra las organizaciones de ayuda a refugiados ucranianos.
La lista también es un recurso valioso para todas las organizaciones fuera E.U., pues CISA también solicita a todas las demás organizaciones aplicar las actualizaciones disponibles para reducir su exposición a los ciberataques.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.