La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha incorporado recientemente dos nuevas vulnerabilidades a su Catálogo de vulnerabilidades explotadas conocidas, identificadas a través de evidencias de explotación activa. Estas vulnerabilidades son:
- CVE-2017-3066: Esta es una vulnerabilidad relacionada con la deserialización en Adobe ColdFusion.
- CVE-2024-20953: Se trata de una vulnerabilidad de deserialización en Oracle Agile Product Lifecycle Management (PLM).
La deserialización se refiere al proceso de convertir datos en un formato legible desde su representación en bytes, y cuando se maneja de manera insegura, puede permitir que un atacante ejecute código arbitrario. Este tipo de vulnerabilidad es a menudo explotado por actores cibernéticos maliciosos y representa un riesgo significativo para las organizaciones, incluido el gobierno federal.
La CISA ha subrayado la importancia de estas vulnerabilidades en el contexto de la Directiva Operativa Vinculante (BOD) 22-01, que tiene el objetivo de mitigar el riesgo elevado de las vulnerabilidades que están siendo activamente explotadas. Esta directiva establece un catálogo en vivo de vulnerabilidades y exposiciones comunes (CVE) que requieren atención urgente y acción correctiva por parte de las agencias federales. BOD 22-01 estipula que las agencias del ejecutivo civil federal (FCEB) deben remediar estas vulnerabilidades en un tiempo determinado para proteger sus redes frente a amenazas activas.
La creación del catálogo de vulnerabilidades explotadas, tal como se menciona en BOD 22-01, se considera crucial para la seguridad cibernética del gobierno federal. Se establece que las vulnerabilidades identificadas no solo amenazan el funcionamiento de las agencias, sino que también potencialmente pueden ser utilizadas para acceder a datos confidenciales o comprometer infraestructuras críticas.
Es importante destacar que, aunque BOD 22-01 es un mandato para las agencias FCEB, CISA también aconseja a todas las organizaciones, independientemente de su sector, a que prioricen la rápida remediación de las vulnerabilidades reconocidas en el catálogo. Esto se debe a que, aunque la normativa solo aplica a ciertos cuerpos gubernamentales, el entorno cibernético es interconectado y la seguridad de una organización puede poner en riesgo a otras.
CISA continúa su labor proactiva al agregar vulnerabilidades al catálogo siguiendo criterios específicos. Esto se hace para mantener actualizado el recurso y asegurar que las organizaciones tengan visibilidad sobre las amenazas más relevantes en un momento dado. La remediación efectiva de estas vulnerabilidades no solo protege a las propias organizaciones, sino que también contribuye a una postura de seguridad más robusta a nivel nacional.
Los actores cibernéticos están en constante evolución, y las tácticas que utilizan suelen enfocarse en vulnerabilidades que todavía no han sido parcheadas. Las organizaciones deben mantenerse alerta y adaptar sus estrategias de gestión de vulnerabilidades para hacer frente a estos riesgos. La aplicación de parches y la actualización constante del software son medidas fundamentales en este proceso.
En conclusión, la inclusión de CVE-2017-3066 y CVE-2024-20953 en el catálogo de CISA resalta la amenaza continua de deserialización y la importancia de una gestión proactiva de vulnerabilidades. La BOD 22-01 es un paso importante hacia la reducción del riesgo cibernético en entidades gubernamentales, y CISA alienta a todos los sectores a seguir su ejemplo y fortalecer su defensa cibernética.