Alerta: Detecção de exploração ativa de vulnerabilidades da TP-Link, Apache e Oracle
2 de Maio de 2023

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) adicionou três falhas ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), com base em evidências de exploração ativa.

As vulnerabilidades de segurança são as seguintes:

CVE-2023-1389 (pontuação CVSS: 8,8) - Vulnerabilidade de Injeção de Comando do TP-Link Archer AX-21

CVE-2021-45046 (pontuação CVSS: 9,0) - Vulnerabilidade de Desserialização de Dados Não Confiáveis do Apache Log4j2

CVE-2023-21839 (pontuação CVSS: 7,5) - Vulnerabilidade não especificada do Oracle WebLogic Server

CVE-2023-1389 se refere a um caso de injeção de comando que afeta roteadores TP-Link Archer AX-21 e que pode ser explorado para obter execução remota de código.

De acordo com a Iniciativa Zero Day da Trend Micro, a falha tem sido utilizada por atores de ameaças associados à botnet Mirai desde 11 de abril de 2023.

A segunda falha adicionada ao catálogo KEV é a CVE-2021-45046 , uma execução remota de código que afeta a biblioteca de registro Apache Log4j2, que veio à tona em dezembro de 2021.

Atualmente não está claro como essa vulnerabilidade específica está sendo explorada, embora dados coletados pela GreyNoise mostrem evidências de tentativas de exploração de até 74 endereços IP únicos nos últimos 30 dias.

No entanto, isso também inclui CVE-2021-44228 (também conhecido como Log4Shell).

Completando a lista está um bug de alta gravidade no Oracle WebLogic Server versões 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0 que poderia permitir acesso não autorizado a dados sensíveis.

Foi corrigido pela empresa como parte de atualizações lançadas em janeiro de 2023.
"O Oracle WebLogic Server contém uma vulnerabilidade não especificada que permite a um invasor não autenticado com acesso à rede via T3, IIOP, comprometer o Oracle WebLogic Server", disse a CISA.

Embora existam provas de conceito (PoC) de exploração da falha, não parece haver relatos públicos de exploração maliciosa.

As agências do Federal Civilian Executive Branch (FCEB) são obrigadas a aplicar correções fornecidas pelo fornecedor até 22 de maio de 2023, para garantir a segurança de suas redes contra essas ameaças ativas.

O aviso também vem pouco mais de um mês após a VulnCheck revelar que quase quatro dúzias de falhas de segurança que provavelmente foram usadas em 2022 estão faltando no catálogo KEV.

Das 42 vulnerabilidades, a maioria esmagadora está relacionada à exploração por botnets semelhantes ao Mirai (27), seguidas por gangues de ransomware (6) e outros atores de ameaças (9).

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...