A agência de segurança cibernética dos EUA CISA adicionou falhas de produtos Sophos, Oracle e Microsoft ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) na quinta-feira.
A falha do Sophos que a agência afirma ter sido explorada em ataques é a CVE-2023-1671, uma vulnerabilidade crítica do Sophos Web Appliance que pode ser explorada por um invasor não autenticado para execução arbitrária de código.
A Sophos anunciou patches em abril, quando também informou aos clientes que o dispositivo afetado chegaria ao fim de sua vida útil em 20 de julho de 2023.
Não parece haver nenhum relatório público descrevendo ataques que explorem o CVE-2023-1671 e a Sophos não pôde fornecer esclarecimentos aos Semana de Segurança no momento em que este artigo foi publicado.
Não é incomum que os agentes de ameaças explorem as vulnerabilidades dos produtos Sophos em seus ataques. Alguns ataques foram ligados a uma APT chinesa e tiveram como alvo o governo e outras organizações no Sul da Ásia.
Lista KEV da CISA atualmente inclui quatro outras vulnerabilidades de produtos Sophos, encontradas em 2020 e 2022.
A segunda vulnerabilidade adicionada à lista KEV da CISA na quinta-feira é CVE-2020-2551uma falha do Oracle WebLogic Server que pode ser explorada por invasores não autenticados para assumir o controle dos servidores afetados.
CVE-2020-2551 foi uma das quatro vulnerabilidades alvo de compromisso inicial por um agente de ameaças chinês, de acordo com uma postagem de blog publicada no início de junho pela empresa de inteligência de ameaças EclecticIQ. Os ataques vistos pela empresa de segurança visavam organizações governamentais e de infraestrutura crítica em Taiwan.
É importante notar que, no momento em que este artigo foi escrito, CVE-2020-2551 era erroneamente referenciado como CVE-2023-2551 em um alerta publicado pela CISA. O identificador CVE correto é usado no catálogo KEV, mas não no alerta.
A CISA também adicionou na quinta-feira CVE-2023-36584 ao seu catálogo KEV. Esta vulnerabilidade permite que invasores contornem o recurso de segurança Mark of the Web (MotW) do Windows.
Os detalhes da vulnerabilidade foram divulgados em 13 de novembro pela Palo Alto Networks, cujos pesquisadores descobriram a falha. Os pesquisadores identificado CVE-2023-36584 durante uma análise de ataques lançados por um APT ligado à Rússia, que aproveitou uma falha de desvio MotW diferente rastreada como CVE-2023-36884, cuja exploração veio à tona em julho.
No entanto, a postagem no blog da Palo Alto Networks não afirma claramente que o CVE-2023-36584 também foi explorado. Além disso, a Microsoft de 10 de outubro consultivo diz que a vulnerabilidade não foi explorada.
Não está claro se a CISA tem outras evidências de exploração do CVE-2023-36884 ou se pode ter interpretado mal a postagem do blog da Palo Alto Networks. A agência afirma que só adiciona vulnerabilidades ao seu catálogo KEV se tiver evidências confiáveis de exploração, mas sabe-se que remove CVEs da lista.
