A agência de segurança cibernética do governo dos EUA, CISA, adicionou na quinta-feira outro lote de falhas de segurança ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV) e instou as agências federais a corrigir esses problemas com urgência.
As vulnerabilidades já exploradas afetam os usuários do servidor de webmail Roundcube de código aberto e VMware Aria Operations for Networks.
A exploração das falhas do servidor de e-mail de código aberto Roundcube foi associada a ataques patrocinados pelo estado russo contra o governo ucraniano e outras entidades de alto perfil no país.
A empresa de inteligência de ameaças Recorded Future e a Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) atribuíram os ataques ao APT28, um notório agente de ameaças que se acredita estar ligado à unidade de espionagem militar GRU da Rússia.
Rastreadas como CVE-2020-35730, CVE-2020-12641 e CVE-2021-44026, as falhas exploradas são descritas como cross-site scripting (XSS), execução remota de código (RCE) e bugs de injeção SQL, respectivamente. Patches e mitigações estão disponíveis desde pelo menos 2021.
A vulnerabilidade VMware Aria Operations for Networks, rastreada como CVE-2023-20887 (pontuação de gravidade CVSS 9.8/10), é uma falha de injeção de comando que expõe sistemas não corrigidos a exploits de execução remota de código.
A falha foi corrigida no início de junho, mas a VMware atualizou seu comunicado esta semana para alertar sobre a exploração selvagem relatada pela empresa de inteligência de ameaças GreyNoise.
Além desses quatro problemas, a CISA expandiu seu catálogo KEV com dois bugs mais antigos no Mozilla Firefox (CVE-2016-9079) e no driver de modo kernel do Microsoft Windows (CVE-2016-0165).
“Esses tipos de vulnerabilidades são vetores de ataque frequentes para cibercriminosos e representam riscos significativos para a empresa federal”, alertou a CISA.
De acordo com a Diretriz Operacional Vinculante (BOD) 22-01, as agências federais são obrigadas a identificar e corrigir as vulnerabilidades na lista ‘Must Patch’ da CISA dentro de três semanas após terem sido adicionadas ao catálogo. Nesse caso, os seis bugs devem ser corrigidos até 13 de julho de 2023.
