La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el lunes una falla de seguridad crítica ahora parcheada que afecta las puertas de enlace de acceso seguro de Array Networks AG y vxAG a su catálogo de vulnerabilidades explotadas conocidas (KEV) luego de informes de explotación activa en la naturaleza.
La vulnerabilidad, registrada como CVE-2023-28461 (puntuación CVSS: 9,8), se refiere a un caso de autenticación faltante que podría explotarse para lograr la ejecución de código arbitrario de forma remota. El proveedor de hardware de red publicó correcciones (versión 9.4.0.484) para la deficiencia de seguridad en marzo de 2023.
“La vulnerabilidad de ejecución remota de código de Array AG/vxAG es una vulnerabilidad de seguridad web que permite a un atacante explorar el sistema de archivos o ejecutar código remoto en la puerta de enlace VPN SSL utilizando el atributo flags en el encabezado HTTP sin autenticación”, dijo Array Networks. “El producto puede ser explotado a través de una URL vulnerable”.
La inclusión en el catálogo de KEV se produce poco después de que la empresa de ciberseguridad Trend Micro revelara que un grupo de ciberespionaje vinculado a China denominado Earth Kasha (también conocido como MirrorFace) ha estado explotando fallas de seguridad en productos empresariales de cara al público, como Array AG (CVE-2023-28461). ), Proself (CVE-2023-45727) y Fortinet FortiOS/FortiProxy (CVE-2023-27997), para acceso inicial.
Earth Kasha es conocido por sus ataques extensivos a entidades japonesas, aunque, en los últimos años, también se le ha observado atacando a Taiwán, India y Europa.
A principios de este mes, ESET también reveló una campaña Earth Kasha dirigida a una entidad diplomática anónima en la Unión Europea para entregar una puerta trasera conocida como ANEL usándola como señuelo en la próxima Exposición Mundial 2025 que tendrá lugar en Osaka, Japón. a partir de abril de 2025.
A la luz de la explotación activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen los parches antes del 16 de diciembre de 2024 para proteger sus redes.
La divulgación se produce cuando 15 grupos de hackers chinos diferentes de un total de 60 actores de amenazas nombrados han sido vinculados con el abuso de al menos una de las 15 vulnerabilidades principales explotadas habitualmente en 2023, según VulnCheck.
La empresa de ciberseguridad dijo que ha identificado más de 440.000 hosts expuestos a Internet que son potencialmente susceptibles a ataques.
“Las organizaciones deben evaluar su exposición a estas tecnologías, mejorar la visibilidad de los riesgos potenciales, aprovechar la inteligencia de amenazas sólida, mantener prácticas sólidas de gestión de parches e implementar controles de mitigación, como minimizar la exposición de estos dispositivos a Internet siempre que sea posible”, dijo Patrick Garrity de VulnCheck. .