1. CVE-2018-14933, que se refiere a una inyección de comandos en el sistema operativo de los dispositivos NUUO NVRmini.
2. CVE-2022-23227, que afecta a los dispositivos NUUO NVRmini 2, los cuales tienen vulnerabilidades relacionadas con la autenticación.
3. CVE-2019-11001, correspondiente a la inyección de comandos en el sistema operativo de diversas cámaras IP de la marca Reolink.
4. CVE-2021-40407, que también implica una vulnerabilidad de inyección de comandos en la cámara IP Reolink RLC-410W.
Estas vulnerabilidades son vectores comunes de ataque en ciberincidentes maliciosos y representan riesgos significativos para las entidades del gobierno federal. En este contexto, se establece la Directiva Operativa Vinculante (BOD) 22-01, que tiene como objetivo la reducción del riesgo asociado con vulnerabilidades conocidas que están siendo explotadas. Esta directiva crea el Catálogo de vulnerabilidades explotadas conocidas como un recurso en constante actualización que lista las vulnerabilidades y exposiciones comunes (CVE) que implican riesgos graves para las agencias federales.
La BOD 22-01 obliga a las agencias del Poder Ejecutivo Civil Federal (FCEB) a solucionar las vulnerabilidades identificadas antes de una fecha límite estipulada, con el fin de proteger sus redes contra amenazas activas. Para más información, se aconseja consultar la hoja informativa BOD 22-01.
A pesar de que la BOD 22-01 se aplica específicamente a las agencias de FCEB, CISA alienta a todas las organizaciones a minimizar su vulnerabilidad a ataques cibernéticos mediante la rápida remediación de las vulnerabilidades presentes en el catálogo, como parte de una estrategia más amplia de gestión de vulnerabilidades. CISA continuará sumando vulnerabilidades a este catálogo cuando cumplan los criterios establecidos. Esto enfatiza la necesidad continua de la seguridad cibernética en diversas organizaciones, más allá del ámbito federal, para enfrentar la creciente amenaza de los ciberataques.
Enlace de la fuente, haz clic para tener más información