🛡 VULNERABILIDADES 🛡

CISA añade dos vulnerabilidades conocidas explotadas a su catálogo

🛡CyberObservatorio
Idioma

CISA añade dos vulnerabilidades conocidas explotadas a su catálogo

Fuente: CISA Alerts

La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA, por sus siglas en inglés) ha incluido recientemente dos nuevas vulnerabilidades en su Catálogo de Vulnerabilidades Conocidas Explotadas (KEV, por sus siglas en inglés), basándose en evidencias de explotación activa. Este movimiento subraya la creciente preocupación en torno a la seguridad cibernética, ya que estas vulnerabilidades se han convertido en vectores de ataque frecuentes para actores maliciosos, representando riesgos significativos para las organizaciones federales.

La Directiva Operativa Vinculante (BOD) 26-04 establece requisitos de gestión de vulnerabilidades para las agencias del Poder Ejecutivo Civil Federal (FCEB, por sus siglas en inglés). Este documento no solo resalta la importancia del Catálogo KEV, sino que también exige a las agencias federales que prioricen la remediación rápida de vulnerabilidades de alto riesgo. Estas son específicamente aquellas identificadas por los Identificadores de Vulnerabilidades Comunes (CVE, por sus siglas en inglés) que se encuentran en el Catálogo KEV y que afectan a activos expuestos públicamente, permitiendo el control total del activo tras la explotación. Por otro lado, se permite una acción diferida para las vulnerabilidades consideradas de menor riesgo. Además, la BOD 26-04 establece expectativas claras sobre cuándo las agencias deben verificar si los actores de amenazas comprometieron el sistema antes de que se aplicara el parche correspondiente.

Aunque la BOD 26-04 se aplica exclusivamente a las agencias FCEB, CISA anima a todas las organizaciones a adoptar un enfoque basado en riesgos para la gestión de vulnerabilidades y a priorizar la remediación de las vulnerabilidades que se encuentran en el Catálogo KEV. CISA continuará incorporando vulnerabilidades al catálogo que cumplan con los criterios establecidos, asegurando así una respuesta adecuada ante las amenazas emergentes.

Si alguna organización tiene conocimiento de una vulnerabilidad explotada que no está actualmente listada en el Catálogo KEV, puede proponer su inclusión a través del Formulario de Nominación KEV de CISA. Para que una vulnerabilidad pueda ser considerada para su inclusión, debe contar con un ID CVE, evidencia de explotación y directrices claras de mitigación.

El contexto actual de la ciberseguridad destaca la importancia de una vigilancia constante y una respuesta proactiva ante amenazas. Las vulnerabilidades recientemente añadidas al catálogo no solo afectan a las agencias federales, sino que también pueden impactar a empresas del sector privado y a usuarios individuales que dependen de la tecnología, lo que hace crucial que todos adopten prácticas de seguridad robustas. La creciente sofisticación de los ataques cibernéticos y la rápida evolución de las técnicas de explotación subrayan la necesidad de una colaboración constante entre las entidades gubernamentales y el sector privado para proteger los activos digitales en un entorno en constante cambio.

CISA Adds Two Known Exploited Vulnerabilities to Catalog

Source: CISA Alerts

CISA has added two new vulnerabilities to itsKnown Exploited Vulnerabilities (KEV) Catalog, based on evidence of active exploitation. These types of vulnerabilities are frequent attack vectors for malicious cyber actors and pose significant risks to the federal enterprise. Binding Operational Directive (BOD) 26-04: Prioritizing Security Updates Based on Riskestablishes vulnerability management requirements for Federal Civilian Executive Branch (FCEB) agencies. BOD 26-04 reinforces the importance of the KEV Catalog and requires federal agencies to prioritize rapid remediation of high-risk vulnerabilities, specifically those identified by Common Vulnerabilities and Exposures (CVEs) listed in CISA’s KEV Catalog on publicly exposed assets that grant total control of the asset post-exploitation, while deferring action for lower-risk vulnerabilities. BOD 26-04 further establishes basic expectations for when agencies must check whether threat actors compromised the system before the patch was applied. While BOD 26-04 applies only to FCEB agencies, CISA encourages all organizations to adopt risk-based vulnerability management and prioritize remediation ofKEV Catalog vulnerabilities. CISA will continue to add vulnerabilities to the catalog that meet thespecified criteria. Aware of an exploited vulnerability not currently listed in the KEV Catalog? Submit it for potential addition through CISA’sKEV Nomination Form. Potential KEV additions must have a CVE ID, evidence of exploitation, and clear mitigation guidance.

CISA añade dos vulnerabilidades conocidas explotadas a su catálogo | Ciberseguridad - NarcoObservatorio