Las 15 vulnerabilidades más explotadas en 2021
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) instó a las empresas y otras organizaciones a analizar detenidamente su lista de las 15 vulnerabilidades más explotadas de forma rutinaria en 2021.
Log4Shell, las vulnerabilidades de Microsoft ProxyLogon y ProxyShell, así como una vulnerabilidad que afecta a los productos de Atlassian, encabezaron la lista.
“Sabemos que los actores cibernéticos maliciosos vuelven a lo que funciona. Esto significa que se enfocan en estas mismas vulnerabilidades críticas de software y continuarán haciéndolo hasta que las empresas y organizaciones las aborden”.
“CISA y nuestros socios están publicando este aviso para resaltar el riesgo que las vulnerabilidades más comúnmente explotadas representan para las redes del sector público y privado”.
Comunicado de la directora de CISA, Jen Easterly
Sabemos que estas CVEs se explotaron con frecuencia en 2021, incluidas algunas divulgados en 2020 o antes. Debemos mitigar y parchear. ¡Estas son las puertas abiertas para los ciberdelincuentes!
Rob Joyce, Director de Ciberseguridad de la NSA
La CISA publicó la lista junto con las agencias cibernéticas de los otros países en la asociación de inteligencia Five Eyes.
Entre las instituciones estadounidenses que participaron con la CISA en la compilación de la lista están la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI). Asimismo, el Centro de Seguridad Cibernética de Australia (ACSC), el Centro Canadiense de Seguridad Cibernética (CCCS), el Centro Nacional de Seguridad Cibernética de Nueva Zelanda (NZ NCSC) y el Centro Nacional de Seguridad Cibernética del Reino Unido Security Center (NCSC-UK).
Vulnerabilidades más explotadas en 2020 y 2021
La CISA señaló que tres de las 15 principales vulnerabilidades explotadas de forma rutinaria también se explotaron de forma rutinaria en 2020. Estas fueron: CVE-2020-1472 que afecta a los productos de Windows y CVE-2018-13379, que afecta al proveedor de equipos de red Fortinet. Asimismo, CVE-2019-11510, que afecta a los productos Pulse Secure.
Las agencias gubernamentales explicaron que para la mayoría de las principales vulnerabilidades explotadas, los investigadores u otros actores publicaron un código de prueba de concepto dentro de las dos semanas posteriores a la divulgación de la vulnerabilidad. En otras palabras, esto “probablemente facilitó la explotación por parte de una gama más amplia de actores maliciosos”.
Cuando le preguntamos a la CISA si quería que los investigadores y analistas dejaran de publicar los códigos de pruebas de conceptos o esperaran un cierto período de tiempo, un portavoz dijo que no. Según él, el código de prueba de concepto “brinda un beneficio neto a los defensores de la red, permitiéndoles validar parches y mitigaciones de prueba.”
La CISA recomienda a los investigadores y analistas que esperen al menos dos semanas para publicar el código de prueba de concepto. Esto porque las observaciones indican que pueden ser explotadas por ciberdelincuentes si se publican antes de que las mitigaciones estén ampliamente disponibles o implementadas.
Por ejemplo, para CVE-2021-26084, la vulnerabilidad de Atlassian, se lanzó una prueba de concepto después de una semana de su divulgación. Esto la convirtió rápidamente en una de las vulnerabilidades más explotadas de forma rutinaria.
“Observamos un intento de explotación masiva de esta vulnerabilidad en septiembre de 2021”.
Log4j
La vulnerabilidad Log4j de la que se ha abusado mucho, y las vulnerabilidades del servidor de correo electrónico de Microsoft Exchange encabezan la lista. No obstante, también están CVE-2021-40539 y CVE-2021-21972, vulnerabilidades de ejecución remota de código (RCE) que afectan a productos de Zoho y VMware.
La vulnerabilidad de Zoho se usó en un ataque a la Cruz Roja el año pasado.
“Estamos viendo un aumento en la velocidad y la escala de los ciberdelincuentes que se aprovechan de las vulnerabilidades recientemente reveladas”.
Lisa Fong, directora del Centro Nacional de Seguridad Cibernética (NCSC) de la Oficina de Seguridad de las Comunicaciones del Gobierno de Nueva Zelanda.
Agregó que el aviso “subraya la importancia de abordar las vulnerabilidades a medida que se revelan”.
Las vulnerabilidades que afectan a Microsoft Netlogon Remote Protocol (MS-NRPC), Microsoft Exchange Server, Pulse Secure Pulse Connect Secure, Fortinet FortiOS y FortiProxy completaron la lista.
Las agencias gubernamentales incluyeron una segunda lista de otras vulnerabilidades. Estas fueron explotadas de forma rutinaria en 2021 en incluyen errores en productos de Accellion, SonicWall, Sudo, Checkbox Survey, QNAP y Citrix.
“Este informe debería ser un recordatorio para las organizaciones de que los ciberdelincuentes no necesitan desarrollar herramientas sofisticadas. Simplemente pueden explotar vulnerabilidades conocidas públicamente. Debemos mitigar o parchear porque estas vulnerabilidades se explotaron activamente”.
Rob Joyce, director de seguridad cibernética de la NSA.
Mitigación
El aviso incluye enlaces a parches para todas las vulnerabilidades y los pasos de mitigación que deben tomar las organizaciones.
En las últimas semanas, varias empresas de ciberseguridad advirtieron que Log4Shell sigue siendo un problema. Esto a pesar de la campaña mundial para parchear la vulnerabilidad después de que surgiera por primera vez en diciembre.
Symantec dijo que una empresa de ingeniería no identificada con clientes militares y de energía fue hackeada por el gobierno de Corea del Norte utilizando la vulnerabilidad Log4j.
Yotam Perkal, investigador de vulnerabilidades, publicó un informe que encontró que el 55% de las aplicaciones contienen una versión obsoleta de Log4j en sus últimas versiones.
Cerca de 90,000 máquinas y 68,000 servidores de Internet públicos siguen siendo vulnerables a Log4Shell. Lo peor es que el tiempo para parchear los contenedores vulnerables superó los 100 días y, en promedio, tomó 80 días.
El investigador David Wolpoff, dijo que Log4j “es una de las peores vulnerabilidades que ha visto en su carrera y sin duda tendrá impactos duraderos”.
La amplitud del problema y la dificultad para determinar qué se vio afectado significa que tendrá muchas repercusiones.
Muchas de las aplicaciones afectadas también eran aplicaciones realmente críticas. Por ejemplo, Vmware Horizon proporciona escritorios virtualizados.
La compañía de seguros cibernéticos Coalition también compartió datos que muestran cómo las vulnerabilidades de Microsoft Exchange afectaron los reclamos cibernéticos el año pasado. De sus asegurados, 1000 estuvieron expuestos durante el conjunto inicial de las vulnerabilidades de Exchange.
Las organizaciones con menos de $25 millones en ingresos que usaron Microsoft Exchange tuvieron un aumento del 103% en las reclamaciones. Esto en comparación con las organizaciones que no usaron la herramienta.
