La agencia recomendó el cese inmediato del uso de ciertos dispositivos.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha emitido una advertencia sobre cuatro vulnerabilidades críticas que están siendo explotadas activamente en condiciones reales.
Las vulnerabilidades se han encontrado en productos de las empresas D-Link, DrayTek, Motion Spell y SAP, representando una posible amenaza para los usuarios de todo el mundo.
La primera vulnerabilidad, CVE-2023-25280 (puntuación CVSS: 9.8), afecta al router D-Link DIR-820. Esta vulnerabilidad permite a atacantes remotos no autorizados obtener privilegios de root a través del parámetro ping_addr en el componente ping.ccp. Aunque aún no se ha establecido su uso en campañas de ransomware, su potencial peligro sigue siendo significativo. Dado que el soporte para el router ha finalizado, CISA recomienda a los usuarios que dejen de usarlo de inmediato.
La siguiente vulnerabilidad, CVE-2020-15415 (puntuación CVSS: 9.8), se encontró en los routers DrayTek modelos Vigor3900, Vigor2960 y Vigor300B. La vulnerabilidad permite la ejecución de código arbitrario a través del componente cgi-bin/mainfunction.cgi/cvmcfgupload. Usando metacaracteres de shell en el nombre del archivo, un atacante puede ejecutar código de forma remota. Se recomienda a los usuarios aplicar las medidas proporcionadas por el fabricante o dejar de usar el dispositivo si no hay parches disponibles.
La tercera vulnerabilidad, CVE-2021-4043 (puntuación CVSS: 5.5), está relacionada con el software GPAC de la empresa Motion Spell. Una vulnerabilidad de tipo "desreferencia de puntero nulo" permite a atacantes locales provocar una denegación de servicio (DoS). A pesar de la ausencia de casos confirmados de explotación con fines de ransomware, se aconseja a los usuarios aplicar los parches proporcionados por el fabricante o dejar de usar el software.
La última de las vulnerabilidades identificadas, CVE-2019-0344 (puntuación CVSS: 9.8), afecta a SAP Commerce Cloud (anteriormente conocido como Hybris). La vulnerabilidad está relacionada con la deserialización de datos no seguros en las extensiones mediaconversion y virtualjdbc, lo que puede conducir a ataques de inyección de código. Se recomienda a los usuarios seguir las instrucciones para la remediación o dejar de usar los componentes.
CISA insta encarecidamente a remediar las vulnerabilidades indicadas antes del 21 de octubre de 2024. Las agencias federales deben tomar medidas oportunas para proteger sus sistemas, incluyendo la instalación de actualizaciones o el cese del uso de componentes vulnerables.