Las agencias de seguridad inglesa, estadounidense, canadiense, australiana y neozelandesa, los Cinco Ojos, han revelado sus 15 vulnerabilidades más importantes en 2023. Pequeña selección:
1 vulnerabilidad vinculada a Citrix NetScaler ADC Gateway: autenticación no autorizada y desbordamiento del búfer. CVE-2023-3519
2 Vulnerabilidad Fortinet FortiOS y FortiProxy SSL-VPN: acceso remoto con ejecución de código o comando no autorizado CVE-2023-27997
3 Vulnerabilidad en el centro de datos y el servidor de Atlassian Confluence: validación de entrada no definida con posibilidad de inyectar parámetros HTTP no autorizados, código Java modificado en tiempo de ejecución, creado por un administrador no autorizado CVE-2023-22515
4 Log4Shell: ¡ah, el famoso fallo de Log4J! Esta vulnerabilidad ha sacudido a millones de empresas. Su fijación provocó más problemas de solución. CVE-2021-44228
5 Fallo en Zoho ManageEngine y varias soluciones: acceso no autorizado, validación de entradas incorrectas. CVE-2022-47966
Los exploits son relativamente clásicos si consideramos todas las vulnerabilidades de la lista: desbordamiento del buffer, inyección de códigos o comandos, ejecución remota de código no autorizado.
Lista completa en el sitio web de CISA: https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-317a
