Las 30 vulnerabilidades críticas más explotadas por los ciberdelincuentes
En un mundo perfecto, las agencias de seguridad deberían laminar tarjetas con las 30 principales vulnerabilidades del año. Esas tarjetas podrían usarse para ver si una empresa se ha inmunizado contra todas esas vulnerabilidades.
Este no es un mundo perfecto. No hay tarjetas de vulnerabilidad laminadas.
Pero al menos tenemos la lista: en un aviso conjunto (PDF) publicado el miércoles. El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el Centro Australiano de Seguridad Cibernética y el Centro Nacional de Seguridad Cibernética del Reino Unido publicaron el aviso. Ellos enumeraron las vulnerabilidades que eran “rutinariamente” explotadas en 2020, así como las que más a menudo están siendo explotadas en este año.
Las vulnerabilidades están acechando dispositivos o software de empresas como Citrix, Fortinet, Pulse Secure, Microsoft y Atlassian. Estas incluyen vulnerabilidades conocidas públicamente, algunas de las cuales están creciendo. Una, de hecho, data del año 2000.
Los ciber actores continúan explotando vulnerabilidades de software conocidas públicamente, y a menudo anticuadas. Ellos las están explotando contra conjuntos de objetivos amplios, incluidas organizaciones del sector público y privado en todo el mundo. Sin embargo, las entidades de todo el mundo pueden mitigar las vulnerabilidades enumeradas en este informe. Para ello deben aplicar los parches disponibles a sus sistemas e implementar un sistema de administración de parches centralizado.
Aviso de seguridad.
En lo que va del año, los ciberatacantes continúan apuntando a vulnerabilidades en dispositivos de tipo perimetral. Específicamente, una gran atención no deseada que dedican a vulnerabilidades en los dispositivos perimetrales vendidos por Microsoft, Pulse, Accellion, VMware y Fortinet.
Todas las vulnerabilidades han recibido parches de los proveedores. Eso no significa que se hayan aplicado esos parches, por supuesto.
La necesidad y obligatoriedad de parchear
Según el aviso, es poco probable que los atacantes dejen de atacar las vulnerabilidades geriátricas, incluida CVE-2017-11882. CVE-2017-11882 es una vulnerabilidad de ejecución remota de código (RCE) de Microsoft Office que ya estaba cerca de la mayoría de edad cuando fue parcheada a la edad de 17 años en 2017.
¿Por qué se detendrían? Siempre que los sistemas permanezcan sin parches, los adversarios ganan en beneficio mutuo. Esto les ahorra tiempo y esfuerzo a los malos actores.
El uso de vulnerabilidades conocidas por parte de los adversarios complica la atribución, reduce los costos y minimiza el riesgo. Esto porque no están invirtiendo en desarrollar un exploit de día cero para su uso exclusivo, que corren el riesgo de perder si se conoce.
De hecho, las cuatro vulnerabilidades más explotadas de 2020 se descubrieron entre 2018 y 2020. Esto demuestra lo común que es que las organizaciones que usan los dispositivos o la tecnología en cuestión evitan la aplicación de parches o soluciones.
Las cuatro primeras vulnerabilidades son:
- CVE-2019-19781. Un error crítico en Citrix Application Delivery Controller (ADC) y Citrix Gateway. El error expone los equipos sin parches a riesgo de un ataque trivial en sus operaciones internas. En diciembre de 2020, el 17%, aproximadamente una de cada cinco de las 80,000 empresas afectadas, no habían aplicado un parche.
- CVE 2019-11510. Una falla crítica de Pulse Secure VPN explotada en varios ciberataques dirigidos a empresas que previamente habían reparado una falla relacionada en la VPN. En abril de 2020, el Departamento de Seguridad Nacional (DHS) instó a los usuarios a cambiar sus contraseñas para las cuentas de Active Directory. Se sugirió esta medida dado que los parches se implementaron demasiado tarde para evitar que los ciberdelincuentes comprometieran esas cuentas.
- CVE 2018-13379. Una vulnerabilidad de recorrido de directorio en las VPN fabricadas por Fortinet que se descubrió en 2018. Esta vulnerabilidad se estaba explotando activamente hace unos meses, en abril de 2021.
- CVE 2020-5902. Una vulnerabilidad crítica en los dispositivos de red del controlador BIG-IP de F5 Networks. En julio de 2020, esta vulnerabilidad estaba siendo explotada por atacantes para extraer credenciales, lanzar malware y más.
Los organismos de ciberseguridad instaron a las organizaciones a solucionar o mitigar las vulnerabilidades lo antes posible para reducir el riesgo de verse afectadas. Para aquellos que no pueden hacer eso, el aviso alentó a las organizaciones a verificar la presencia de indicadores de compromiso (IOC).
Si se encuentran IOC, deben iniciar los planes de recuperación y respuesta a incidentes e informar a las autoridades competentes. El aviso contiene instrucciones sobre cómo informar incidentes o solicitar ayuda técnica.
Las 12 vulnerabilidades más explotadas de 2020
Aquí está la lista completa de la docena de vulnerabilidades más explotadas del año pasado:
Vendedor | CVE | Tipo |
Citrix | CVE-2019-19781 | Ejecución arbitraria de código |
Pulse | CVE 2019-11510 | Lectura arbitraria de archivos |
Fortinet | CVE 2018-13379 | Recorrido de directorio |
F5- Big IP | CVE 2020-5902 | Ejecución remota de código (RCE) |
MobileIron | CVE 2020-15505 | RCE |
Microsoft | CVE-2017-11882 | RCE |
Atlassian | CVE-2019-11580 | RCE |
Drupal | CVE-2018-7600 | RCE |
Telerik | CVE 2019-18935 | RCE |
Microsoft | CVE-2019-0604 | RCE |
Microsoft | CVE-2020-0787 | Elevación de privilegio |
Netlogon | CVE-2020-1472 | Elevación de privilegio |
Las más explotadas hasta ahora en 2021
La CISA y las demás organizaciones también listaron estas 13 vulnerabilidades, todas descubiertas este año, que también están siendo explotadas agresivamente:
- Microsoft Exchange: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE2021-27065. Cuatro vulnerabilidades que se pueden encadenar en el grupo de errores de seguridad de ProxyLogon que llevaron a un frenesí de parches. El frenesí estaba justificado: en marzo, Microsoft dijo que el 92 por ciento de los servidores Exchange eran vulnerables a ProxyLogon.
- Pulse Secure: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899 y CVE-2021-22900. En mayo, CVE-2021-22893 estaba siendo utilizada por al menos dos actores avanzados de amenazas persistentes (APT), probablemente vinculados a China. La utilizaron para atacar objetivos de defensa de Estados Unidos, entre otros.
- Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104. Estas llevaron a una gran cantidad de ataques, incluso a Shell. Alrededor de 100 clientes de Accellion FTA, incluidos el bufete de abogados Jones Day, Kroger y Singtel, se vieron afectados por ataques relacionados con FIN11 y la banda de ransomware Clop.
- VMware: CVE-2021-21985. Una vulnerabilidad crítica en la plataforma de administración de virtualización de VMware, vCenter Server. La vulnerabilidad permite a un atacante remoto explotar el producto y tomar el control del sistema afectado de una empresa.
El aviso brindó detalles técnicos para todas estas vulnerabilidades junto con orientación sobre mitigación e IOC. Esto para ayudar a las organizaciones a determinar si eran vulnerables o si ya se habían visto comprometidas. El aviso también ofrece orientación para bloquear sistemas.
¿Pueden los equipos de seguridad mantenerse al día?
Rick Holland, CISO de Digital Shadows y vicepresidente de estrategia, calificó de manera positiva las alertas de vulnerabilidad de la CISA. Él las ve como una “herramienta influyente para ayudar a los equipos a mantenerse a flote y minimizar su superficie de ataque”.
“Las CVEs resaltadas en la alerta del miércoles “continúan demostrando que los atacantes persiguen vulnerabilidades conocidas y aprovechan los días cero solo cuando es necesario”.
Una investigación reciente de Vulcan Cyber ha descubierto que más de las tres cuartas partes de los líderes en ciberseguridad se han visto afectados por una vulnerabilidad de seguridad durante el año pasado. Surge la pregunta: ¿Existe una discrepancia entre los programas de gestión de vulnerabilidades empresariales y la capacidad de los equipos de seguridad para mitigar el riesgo?
Yaniv Bar-Dayan, director ejecutivo y cofundador de Vulcan Cyber, un proveedor de SaaS para la corrección de riesgos cibernéticos empresariales, sugirió que se ha vuelto cada vez más vital para las partes interesadas en la seguridad informática empresarial realizar “cambios significativos en sus esfuerzos de higiene cibernética”.
Eso significa “priorizar los esfuerzos de ciberseguridad basados en riesgos, aumentar la colaboración entre los equipos de seguridad e informática. Además, deben actualizar las herramientas de gestión de vulnerabilidades y mejorar el análisis de riesgos empresariales, especialmente en empresas con programas avanzados de aplicaciones en la nube”.
Por supuesto, la gestión de vulnerabilidades es “uno de los aspectos más difíciles de cualquier programa de seguridad”, afirmó. Pero si se está explotando una vulnerabilidad determinada, eso debería ponerla en la lista de prioridades, dijo Var-Dayan. Adoptar un enfoque basado en el riesgo para la gestión de vulnerabilidades es el camino a seguir; y los equipos deberían, sin lugar a dudas, priorizar las vulnerabilidades que se explotan activamente.