CISA Sinaliza 6 Vulnerabilidades - Apple, Apache, Adobe, D-Link, Joomla Sob Ataque
10 de Janeiro de 2024

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou seis falhas de segurança em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa.

Isso inclui a CVE-2023-27524 (pontuação CVSS: 8,9), uma vulnerabilidade de alta gravidade que afeta o software de visualização de dados de código aberto Apache Superset, que poderia permitir a execução de código remoto.

O problema foi corrigido na versão 2.1.

Os detalhes do problema vieram à tona pela primeira vez em abril de 2023, com Naveen Sunkavally da Horizon3.ai descrevendo-o como uma "configuração padrão perigosa no Apache Superset que permite a um invasor não autenticado obter execução de código remoto, colher credenciais e comprometer dados".

Atualmente não se sabe como a vulnerabilidade está sendo explorada na prática.

A CISA também adicionou outras cinco falhas -

CVE-2023-38203 (pontuação CVSS: 9,8) - Adobe ColdFusion Deserialization of Untrusted Data Vulnerability

CVE-2023-29300 (pontuação CVSS: 9,8) - Adobe ColdFusion Deserialization of Untrusted Data Vulnerability

CVE-2023-41990 (pontuação CVSS: 7,8) - Falha de Execução de Código em Produtos Múltiplos da Apple

CVE-2016-20017 (pontuação CVSS: 9,8) - Vulnerabilidade de Injeção de Comando em Dispositivos D-Link DSL-2750B

CVE-2023-23752 (pontuação CVSS: 5,3) - Falha de Controle de Acesso Improperado do Joomla!

Vale a pena notar que a CVE-2023-41990 , corrigida pela Apple no iOS 15.7.8 e iOS 16.3, foi usada por atores desconhecidos como parte dos ataques de spyware da Operação Triangulação para obter execução de código remoto ao processar um anexo de PDF do iMessage especialmente criado.

As agências do Poder Executivo Civil Federal (FCEB) foram recomendadas a aplicar correções para os bugs mencionados até 29 de janeiro de 2024, para proteger suas redes contra ameaças ativas.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...