La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) el jueves adicional dos fallos de seguridad que afectan a los productos de Hikvision y Rockwell Automation y a sus vulnerabilidades conocidas explotadas ( KEV ), en el que se citan pruebas de explotación activa.

Las vulnerabilidades de gravedad crítica se enumeran a continuación:

  • CVE-2017-7921 (Puntuación CVSS: 9,8): una vulnerabilidad de autenticación inadecuada que afecta a varios productos de Hikvision y que podría permitir a un usuario malintencionado aumentar los privilegios del sistema y acceder a información confidencial.
  • CVE-2021-22681 (Puntuación CVSS: 9,8): una vulnerabilidad de credenciales insuficientemente protegidas que afecta a varios controladores Logix Designer, RSLogix 5000 y Logix de Rockwell Automation Studio 5000, que podría permitir a un usuario no autorizado con acceso a la red al controlador eludir el mecanismo de verificación y autenticarse con él, así como modificar su configuración o código de aplicación.
adsense

La incorporación del CVE-2017-7921 al catálogo de KEV se produce más de cuatro meses después del SANS Internet Storm Center divulgado que había detectado intentos de explotación contra cámaras de Hikvision susceptibles a la falla. Sin embargo, no parece haber ningún informe público que describa ataques que involucren CVE-2021-22681 .

A la luz de la explotación activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que actualicen a las últimas versiones de software compatibles antes del 26 de marzo de 2026, como parte de Directiva operativa vinculante (BOD) 22-01 .

«Este tipo de vulnerabilidades son vectores de ataque frecuentes para ciberactores malintencionados y representan riesgos importantes para la empresa federal», dijo la CISA.

«Aunque el BOD 22-01 solo se aplica a las agencias de la FCEB, la CISA insta encarecidamente a todas las organizaciones a reducir su exposición a los ciberataques dando prioridad a la corrección oportuna de las vulnerabilidades del catálogo KEV como parte de su práctica de gestión de vulnerabilidades».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.