top of page

CISA Adiciona 15 novas falhas em sua base de dados

CISA (U.S. Cybersecurity and Infrastructure Security Agency) adicionou 15 novas falhas ao seu catálogo de vulnerabilidades exploradas ativamente e, aproveitou para recomendar que as agências federais corrijam estas falhas com a máxima urgência. Das 15 catalogadas, 4 foram divulgadas entre 2020 e 2021 e as demais datam de 2013 a 2015.

Falhas não corrigidas servem como porta de entrada para criminosos cibernéticos e, sabemos que muitos acabam explorando vulnerabilidades já conhecidas publicamente.


As vulnerabilidades recém-adicionadas são:


CVE-2021-22017 VMware vCenter Server Improper Access Control Vulnerability

CVE-2021-36260 Hikvision Improper Input Validation Vulnerability

CVE-2021-27860 FatPipe WARP, IPVPN, and MPVPN Privilege Escalation vulnerability

CVE-2020-6572 Google Chrome prior to 81.0.4044.92 Use-After-Free Vulnerability

CVE-2019-1458 Microsoft Win32K Elevation of Privilege Vulnerability

CVE-2019-7609 Elastic Kibana Remote Code Execution Vulnerability

CVE-2019-2725 Oracle WebLogic Server, Injection Vulnerability

CVE-2019-9670 Synacor Zimbra Collaboration Suite Improper Restriction of XML External Entity Reference Vulnerability

CVE-2019-10149 Exim Mail Transfer Agent (MTA) Improper Input Validation Vulnerability

CVE-2019-1579 Palo Alto Networks PAN-OS Remote Code Execution Vulnerability

CVE-2018-13383 Fortinet FortiOS and FortiProxy Improper Authorization Vulnerability

CVE-2018-13382 Fortinet FortiOS and FortiProxy Improper Authorization Vulnerability

CVE-2017-1000486 Primetek Primefaces Application Remote Code Execution Vulnerability

CVE-2015-7450 IBM WebSphere Application Server and Server Hy Server Hypervisor Edition Remote Code Execution Vulnerability

CVE-2013-3900 Elastic Kibana Remote Code Execution Vulnerability


Algumas das vulnerabilidades recém cadastradas são classificadas como riscos médios. Recentemente a CISA emitiu uma "Binding Operational Directive (BOD)" para reduzir o risco de vulnerabilidades exploradas ativamente. A nova Diretiva, que se aplica a todos os softwares e hardwares encontrados em sistemas de informação federais, exige que as agências civis federais corrijam estas determinadas vulnerabilidades dentro de prazos específicos.


De acordo com a CISA, mais de 18.000 vulnerabilidades foram identificadas em 2020. Organizações do setor público e privado encontram dificuldades para mitigar as crescentes falhas de segurança. De 2015 a 2018, o número de novas falhas subiu de 6.487 para 17.305, e 9.883 delas foram classificadas como altas e críticas

Comments


bottom of page