Obtenha o patch agora: CISA adiciona outras 95 falhas à sua lista de vulnerabilidades exploradas conhecidas
A CISA ordenou que agências federais corrijam bugs em software da Cisco, Microsoft, Adobe, Oracle e muito mais.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) acaba de adicionar 95 novos bugs ao seu catálogo de vulnerabilidades exploradas conhecidas, incluindo várias falhas críticas do roteador Cisco, falhas do Windows novas e antigas e bugs no Adobe Flash Player e muito mais.
“A CISA adicionou 95 novas vulnerabilidades ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas, com base em evidências de exploração ativa. Esses tipos de vulnerabilidades são um vetor de ataque frequente para agentes cibernéticos maliciosos e representam um risco significativo para a empresa federal”, disse a agência.
A falha do Windows CVE-2021-41379 que entrou na lista da CISA estava sendo usada em ataques contra clientes em novembro . Os pesquisadores do Talos da Cisco descobriram um malware que visava a falha de elevação de privilégios que afetava o Windows 11 e versões anteriores. A Microsoft classificou-a como uma ameaça “importante” e uma pontuação de gravidade de 5,5 em 10.
As falhas do roteador da Cisco, no entanto, são uma preocupação maior para corrigir, devido à sua classificação de gravidade de 10 em 10 . A Cisco lançou atualizações de firmware em fevereiro para resolver várias falhas críticas em seus roteadores da série RV.
Esses eram bugs que permitiam que invasores executassem códigos maliciosos, elevassem privilégios, executassem comandos aleatórios, colocassem um dispositivo offline, ignorassem a autenticação e muito mais. Eles afetaram os roteadores das séries RV160, RV260, RV340 e RV345 para pequenas empresas da Cisco.
A lista da CISA é importante para as agências do governo federal dos EUA, uma vez que os oficiais são obrigados, sob a diretriz operacional vinculante (BOD) 22-01, a agir sobre os alertas de vulnerabilidade da CISA dentro de um prazo. Nesse caso, o prazo para aplicação dessas atualizações dos fornecedores é março, sugerindo o quanto a CISA considera importante que os órgãos respondam com agilidade.
“O BOD 22-01 exige que as agências do FCEB corrijam as vulnerabilidades identificadas até a data de vencimento para proteger as redes do FCEB contra ameaças ativas”, observa a CISA.
Parece que a CISA está ordenando que as agências façam uma limpeza completa de quaisquer falhas de software antigas que ainda possam estar à espreita nos sistemas governamentais.
A lista atualizada de bugs a serem corrigidos se torna parte das recomendações Shields Up da CISA , que foram sinalizadas esta semana como parte de sua resposta a ataques destrutivos de malware contra organizações ucranianas . A CISA está preocupada que malwares limpadores como WhisperGate e HermeticWiper possam em breve atingir organizações fora da Ucrânia por causa das novas sanções dos EUA e da Europa contra a Rússia.
A lista também é um recurso valioso para todas as organizações fora dos EUA. A CISA pediu a todas as outras organizações que apliquem as atualizações para reduzir sua exposição a ataques cibernéticos.
Entre os bugs mais antigos, ele é adicionado com uma data de vencimento de 17 de março, uma falha do Microsoft Excel RCE CVE-2019-1297, uma antiga falha de escalonamento de privilégios do Exchange Server CVE-2018-8581 e um bug no mecanismo de script do navegador ChakraCore CVE-2018-8298 que a Microsoft está matando por causa de sua mudança para o Chromium for Edge.
Existem também várias falhas de software Cisco IOS e IOS XE mais antigas divulgadas em 2017 que agora devem ser corrigidas até 17 de março.
Até bugs mais antigos de antes de 2018, como os que afetam o Siemens SIMATIC Communication Processor (CP) e o software Flash Player da Adobe, agora morto , estão agora na lista.
Fonte: https://www.zdnet.com