CCNeko berriak

CCN-CERT AV 14/24 Campaña de explotación de vulnerabilidad de Acronis Cyber Infrastructure

Fecha de publicación: 31/07/2024

Nivel de peligrosidad: CRÍTICO

El CCN-CERT, del Centro Criptológico Nacional, avisa de una campaña de explotación de una vulnerabilidad crítica en la solución Acronis Cyber Infrastructure (ACI) del fabricante Acronis. La vulnerabilidad explotada fue registrada como CVE-2023-45249 en la base de datos del NIST y se le ha otorgado una puntuación de 9,8 en la escala CVSS.

La empresa solucionó la vulnerabilidad a finales de 2023. La vulnerabilidad permitiría a un atacante remoto ejecutar código arbitrario por el uso de contraseñas predeterminadas.

Recursos afectados

Entre los productos afectados se incluyen:

  • Acronis Cyber Infrastructure (ACI) antes de la compilación 5.4.4-132
  • Acronis Cyber Infrastructure (ACI) antes de la versión 5.0.1-61
  • Acronis Cyber Infrastructure (ACI) antes de la versión 5.1.1-71
  • Acronis Cyber Infrastructure (ACI) antes de la compilación 5.2.1-69
  • Acronis Cyber Infrastructure (ACI) antes de la compilación 5.3.1-53

Solución a las vulnerabilidades

La empresa abordó la vulnerabilidad con el lanzamiento de las versiones 5.4 actualización 4.2, 5.2 actualización 1.3, 5.3 actualización 1.3, 5.0 actualización 1.4 y 5.1 actualización 1.2 de ACI e insta a los clientes a parchear el problema lo antes posible.

El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Referencias

Atentamente,

Equipo CCN-CERT