La Agencia de Seguridad Cibernética e Infraestructura, poco conocido como CISA, acaba de agregar cinco nuevas fallas de seguridad a sus Vulnerabilidades Explotadas Conocidas (KEV) Catalogar, basado en evidencia de explotación activa. Dado que los riesgos son graves, se requieren acciones inmediatas para remediar las fallas, la agencia destacó en su consultivo.
CISA agrega cinco fallas de seguridad a su KEV
Estas vulnerabilidades incluyen: CVE-2021-27876 Veritas Backup Exec Agent Vulnerabilidad de acceso a archivos, CVE-2021-27877 Vulnerabilidad de autenticación incorrecta del agente Veritas Backup Exec, CVE-2021-27878 Veritas Backup Exec Agent Vulnerabilidad de ejecución de comandos, CVE-2019-1388 Vulnerabilidad de escalada de privilegios en el cuadro de diálogo del certificado de Microsoft Windows, y CVE-2023-26083 Arm Mali GPU Kernel Driver Information Disclosure Vulnerability.
Los atacantes suelen utilizar este tipo de vulnerabilidades para obtener acceso a las redes., convirtiéndolos en un riesgo significativo para las empresas federales..
Con el fin de reducir el riesgo significativo de vulnerabilidades conocidas explotadas, la llamada Directiva Operativa Vinculante (DBO) 22-01 se estableció para crear una lista viva de vulnerabilidades y exposiciones comunes (CVEs) que representan una amenaza inminente para las empresas federales, CISA dijo.
Esta directiva requiere que el Poder Ejecutivo Federal Civil (FCEB) agencias para remediar las vulnerabilidades identificadas antes de la fecha de vencimiento dada. Aunque DBO 22-01 solo aplica para agencias FCEB, CISA insta a todas las organizaciones a priorizar la remediación oportuna de las vulnerabilidades enumeradas en el catálogo para protegerse de los ataques cibernéticos.. CISA continuará agregando vulnerabilidades al catálogo que cumplan con los criterios especificados.