La Agencia Americana de Ciberseguridad y Seguridad de las Infraestructuras (CISA) mantiene un útil resumen de las vulnerabilidades conocidas que explotan los atacantes. El 5 de abril, la agencia añadió cuatro nuevas vulnerabilidades a este panorama. Aquí podrá saber qué son, cuáles son los riesgos y cómo puede protegerse de ellos.
La vulnerabilidad Spring4Shell permite la ejecución remota de código
¿Qué ha pasado?
La vulnerabilidad «Spring4Shell» (CVE-2022-22965) preocupa actualmente a los expertos en ciberseguridad. El marco de trabajo de código abierto Spring ofrece herramientas y utilidades para aplicaciones empresariales basadas en el lenguaje de programación Java. Spring ayuda a reducir el esfuerzo necesario para crear aplicaciones.
El 31 de marzo, la empresa confirmó la vulnerabilidad de día cero y publicó un parche para solucionar el problema.
Sin embargo, la empresa de seguridad estadounidense Sonatype descubrió esta semana que, a pesar del lanzamiento del parche, más del 80% de las descargas recientes son versiones potencialmente vulnerables. Al parecer, los programas de las empresas que utilizan Spring y que se utilizan en todo el mundo están afectados. El CERT (Computer Emergency Response Team) de la Universidad Carnegie Mellon ha publicado una lista de empresas afectadas.
La empresa de ciberseguridad Kasada también descubrió que los ciberdelincuentes están utilizando herramientas automatizadas de escaneo de vulnerabilidades para probar miles de URL y averiguar qué sistemas no han sido parcheados todavía.
¿Qué riesgos supone Spring4Shell para mi empresa?
Si la vulnerabilidad es explotada de forma maliciosa, puede ser utilizada para la ejecución remota de código, también llamada ejecución remota de código (RCE): Los ciberdelincuentes pueden acceder de forma remota a los ordenadores y otros puntos finales y realizar cambios en ellos o instalar programas maliciosos.
¿Qué puedo hacer?
- Consulte con el fabricante de su software, programas y servicios para ver si sus aplicaciones están afectadas. Spring ha publicado una guía para ayudar a los usuarios a saber si están afectados y en qué medida.
- Si no es posible aplicar un parche de inmediato, Spring ha publicado soluciones para solucionar el problema por el momento.
- Para los administradores de TI: Aislar los sistemas afectados en una «VLAN vulnerable» (red de área local virtual).
- Tenga cuidado con los cambios de configuración no autorizados en todos los sistemas.
Apple publica y cierra dos vulnerabilidades de seguridad críticas
¿Qué ha pasado?
Además de Spring4Shell, el CISA catalogó dos vulnerabilidades (CVE-2022-22675 y CVE-2022-22674) anunciadas por Apple el 1 de abril y que afectan a sus dispositivos más utilizados iPhone, iPad y Mac.
En el caso de la vulnerabilidad CVE-2022-22675, afecta al componente de decodificación de audio y vídeo AppleAVD. La ejecución remota de código también puede ocurrir con esta vulnerabilidad.
En combinación con la segunda vulnerabilidad, CVE-2022-22674, que permite la lectura de la memoria del kernel de macOS, los ciberdelincuentes también podrían obtener información sensible sobre sus potenciales víctimas.
Apple dijo que ambas vulnerabilidades habían sido corregidas. Sin embargo, existía el riesgo de que las vulnerabilidades ya hubieran sido explotadas.
¿Qué puedo hacer?
Las actualizaciones de seguridad de iOS y iPad (iOS 15.4.1 y macOS Monterey 12.3.1) están disponibles para el iPhone 6S y posteriores, todos los modelos de iPad Pro, todos los modelos de iPad Air 2 y posteriores, iPad de 5ª generación y posteriores, iPad Mini 4 y posteriores y iPod Touch (7ª generación). Cualquiera que utilice uno de estos dispositivos debería instalar las actualizaciones lo antes posible y no esperar a una actualización de seguridad automática de Apple:
- Abre los ajustes de tu iPhone o iPad. Haga clic en «General», luego en «Actualización de software» y finalmente en «Actualizar ahora».
- Los usuarios de Mac abren el menú de Apple, van a la opción de menú «Actualización de software» y hacen clic en «Actualizar ahora».
Ejecución remota de código en routers D-Link
También se ha añadido al resumen de CISA la vulnerabilidad CVE-2021-45382. Afecta a los modelos de router DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L y DIR-836L de D-Link. La vulnerabilidad también abre la puerta a la ejecución remota de código.
No hay más actualizaciones disponibles para estos dispositivos -la última se lanzó el 19 de diciembre de 2021-, ya que se trata de los llamados dispositivos al final de su vida útil. Los productos han llegado al final de su vida útil y ya no se mantienen. En consecuencia, se desarrollan vulnerabilidades en estos dispositivos y, por tanto, se convierten en un objetivo de ataque popular, especialmente porque los dispositivos están constantemente encendidos y conectados a Internet. Los ciberdelincuentes suelen utilizar los routers comprometidos para disimular su ubicación mientras lanzan sus ataques.
¿Qué puedo hacer?
La propia D-Link aconseja retirar y sustituir los modelos mencionados. Para que las empresas cumplan con la Directiva Operativa Vinculante 22-01, deben hacerlo antes del 25 de abril de 2022.