La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes cuatro vulnerabilidades que afectan a los enrutadores de la serie SimpleHelp, Samsung MagicINFO 9 Server y D-Link DIR-823X a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La lista de vulnerabilidades se encuentra a continuación:
CVE-2024-57726 (Puntuación CVSS: 9,9): un técnico con pocos privilegios podría utilizar una vulnerabilidad de autenticación faltante en SimpleHelp para crear una clave API con privilegios excesivos y escalar sus privilegios a la función de administrador del servidor. CVE-2024-57728 (puntuación CVSS: 7,2): vulnerabilidad de recorrido de ruta de SimpleHelp. Esto permite a un usuario administrativo cargar archivos arbitrarios en cualquier ubicación del sistema de archivos cargando un archivo zip especialmente diseñado (es decir, un archivo zip). Esto se puede aprovechar para ejecutar código arbitrario en el host en el contexto del usuario del servidor SimpleHelp. CVE-2024-7399 (puntuación CVSS: 8,8): una vulnerabilidad de recorrido de ruta en Samsung MagicINFO 9 Server podría permitir a un atacante escribir archivos arbitrarios con privilegios del sistema. CVE-2025-29635 (Puntuación CVSS: 7,5): vulnerabilidad de inyección de comandos en los enrutadores de la serie D-Link DIR-823X al final de su vida útil permite a un atacante autorizado ejecutar comandos arbitrarios en un dispositivo remoto enviando una solicitud POST a /goform/set_prohibiting a través de la función correspondiente.
Ambas fallas de SimpleHelp están marcadas como «Desconocidas» en «¿Se sabe que se utilizan en campañas de ransomware?». Las métricas e informes de Field Effect y Sophos revelaron que este problema estaba siendo explotado como precursor de un ataque de ransomware a principios del año pasado. Se cree que una de esas campañas proviene de la operación de ransomware DragonForce.
La explotación de CVE-2024-7399 se ha asociado anteriormente con actividad maliciosa que implementa la botnet Mirai. Con respecto a CVE-2025-29635, Akamai reveló a principios de esta semana que había registrado un intento de lanzar una variante de botnet Mirai llamada «tuxnokill» contra dispositivos D-Link.
Para mitigar la amenaza actual, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) aplicar una solución o, en el caso de CVE-2025-29635, retirar el dispositivo del servicio antes del 8 de mayo de 2026.
Source link
