Las agencias de inteligencia en Australia, Reino Unido y Estados Unidos emitieron un aviso detallando las vulnerabilidades más explotadas en 2020 y 2021. Este proporciona detalles sobre las 30 principales vulnerabilidades, las cuales son de dominio público (CVEs – Common Vulnerabilities and Exposures), demostrando una vez más cómo los actores cibernéticos son capaces de explotar rápidamente las fallas divulgadas públicamente para obtener un beneficio.

¿Por qué es importante reconocer qué vulnerabilidades explotan y en qué plataformas? Las razones son muy sencillas, pero vale la pena hacer mayor conciencia de lo siguiente:

Se realizan en plataformas con una amplia participación de mercado, de modo que existen innumerables víctimas a disposición de los atacantes. Por ello, es altamente recomendable estar seguro de lo que se tiene de estas soluciones dentro de la infraestructura, para así tomar de manera oportuna las acciones necesarias y cerrar las brechas de riesgo.

• Entre más difundidas las vulnerabilidades y los mecanismos de explotación, habrá más información en los foros obscuros acerca de cómo proceder con éxito.
• Habrá más recursos que faciliten y mejoren la realización de los ataques, e incluso logren la automatización de estos.
• Algunas de las vulnerabilidades no vienen solas, es decir, hay aquellas que se explotan y se combinan en ataques más sofisticados. De modo que, si se tienen varias de las plataformas afectadas en un solo escenario, la reacción de prevención deberá ser más integral y requerirá de un mayor esfuerzo. En caso de que se alcance a comprometer la red y sus recursos, la investigación para determinar la forma en la que procedieron y el o los vectores de ataque, será más compleja.

Las 30 vulnerabilidades abarcan desde sistemas operativos, actividad remota, redes privadas virtuales (VPN) hasta tecnologías basadas en la nube, teniendo como principales productos:  Microsoft, VMware, Pulse Secure, Fortinet, Accellion, Citrix, F5 Big IP, Atlassian y Drupal.

En 2020 los actores cibernéticos explotaron fácilmente las vulnerabilidades publicadas recientemente para comprometer sistemas sin parches y con un índice de puntuación elevado (CVSS – Common Vulnerability Scoring System), siendo los siguientes CVEs:

 

• CVE-2019-19781 (puntuación CVSS: 9.8) – Vulnerabilidad de Citrix Application Delivery Controller (ADC) y recorrido de directorios de Gateway
• CVE-2019-11510 (puntuación CVSS: 10.0) – Vulnerabilidad Pulse Connect Secure de lectura arbitraria de archivos
• CVE-2018-13379 (puntuación CVSS: 9.8) – Vulnerabilidad Fortinet FortiOS path traversal, que conduce a la fuga de archivos del sistema
• CVE-2020-5902 (puntuación CVSS: 9.8) – Vulnerabilidad de ejecución remota de código F5 BIG-IP
• CVE-2020-15505 (puntuación CVSS: 9.8) – Vulnerabilidad de ejecución remota de código en MobileIron Core & Connector
• CVE-2020-0688 (puntuación CVSS: 8.8) – Vulnerabilidad de daños en la memoria de Microsoft Exchange
• CVE-2019-3396 (puntuación CVSS: 9.8) – Vulnerabilidad de ejecución remota de código en Atlassian Confluence Server
• CVE-2017-11882 (puntuación CVSS: 7.8) – Vulnerabilidad de daños en la memoria de Microsoft Office
• CVE-2019-11580 (puntuación CVSS: 9.8) – Vulnerabilidad de ejecución remota de código en Atlassian Crowd and Crowd Data Center
• CVE-2018-7600 (puntuación CVSS: 9.8) – Vulnerabilidad de ejecución remota de código en Drupal
• CVE-2019-18935 (puntuación CVSS: 9.8) – Vulnerabilidad de deserialización de Telerik .NET que resulta en la ejecución remota de código
• CVE-2019-0604 (puntuación CVSS: 9.8) – Vulnerabilidad de ejecución remota de código en Microsoft SharePoint
• CVE-2020-0787 (puntuación CVSS: 7.8) – Vulnerabilidad de elevación de privilegios en segundo plano en Windows
• CVE-2020-1472 (puntuación CVSS: 10.0): Vulnerabilidad de elevación de privilegios en Windows Netlogon

En lo que ha transcurrido del 2021, los actores cibernéticos han estado atacando vulnerabilidades en dispositivos perimetrales, destacando los fallos en equipos populares. Tales vulnerabilidades se listan a continuación:

• Microsoft Exchange Server: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858y CVE-2021-27065 (también conocido como “ProxyLogon”)
• Pulse Secure: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899y CVE-2021-22900
• Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103y CVE-2021-27104
• VMware: CVE-2021-21985
• Fortinet: CVE-2018-13379, CVE-2020-12812y CVE-2019-5591

Una de las prácticas recomendadas más eficaces para mitigar muchas vulnerabilidades es la de mantener un inventario actualizado y completo de la infraestructura de seguridad, los sistemas operativos y las aplicaciones, e incluir un plan de mantenimiento, actualización y monitoreo, para que en el caso de que se presenten vulnerabilidades y se requieran implementar parches de seguridad, se realicen de manera oportuna y eficaz.

Referencias:
https://us-cert.cisa.gov/ncas/alerts/aa21-209a