En un mundo ideal, las organizaciones parcharían cada nueva vulnerabilidad una vez que se descubriera. En la vida real, esto es imposible. Los analistas de seguridad responsables de las actividades de gestión de vulnerabilidades se enfrentan a múltiples desafíos que resultan en lo que la industria llama » La paradoja de los parches «: el sentido común le dice que mantenga todos los sistemas actualizados para estar protegido, pero esto no es posible debido a los recursos limitados, existencia de sistemas heredados e implementación lenta de parches.
El Grupo de Inteligencia de Amenazas Cibernéticas (CTI) de Verint analizó las 20 vulnerabilidades principales que actualmente están siendo explotadas por grupos de ataque en todo el mundo. El objetivo de este análisis es proporcionar a los profesionales de seguridad un incentivo para mejorar sus actividades de administración de parches.
HALLAZGOS CLAVE :
- El 34% de los ataques que explotan estas vulnerabilidades, se originaron en China
- 45% de las vulnerabilidades afectan los productos de Microsoft
- Las vulnerabilidades desde 2012 (!) Todavía se utilizan para llevar a cabo ataques exitosos
De acuerdo con la National Vulnerability Database (NVD), desde 2016 hemos visto un aumento de ~ 130% en el número de vulnerabilidades reveladas, o en otras palabras, hay un promedio de ~ 45 nuevas vulnerabilidades por día como se puede ver en el gráfico abajo. Las estadísticas adicionales revelan que casi el 60% de todas las vulnerabilidades se clasifican como «Crítico» o «Alto» .
La inteligencia de amenazas reciente reunida por Verint y Thales Group sobre 66 grupos de ataque que operan a nivel mundial, reveló que los actores de amenazas avanzadas aprovechan las vulnerabilidades antiguas que no se han parcheado. Para complicar aún más las cosas, según un estudio reciente realizado por el Instituto Ponemon para ServiceNow , el 60% de las infracciones estaban vinculadas a una vulnerabilidad donde había un parche disponible, pero no se aplicaba.
ENTONCES, ¿CÓMO PODEMOS LIMPIAR EL DESORDEN?
Inteligencia de amenazas operativas : a cada CVE se le asigna un puntaje de gravedad. Sin embargo, estos puntajes no representan necesariamente el riesgo real para la organización. Por ejemplo, CVE-2018-20250 (vulnerabilidad WinRAR) tiene un puntaje base de CVSS (Sistema de puntuación de vulnerabilidad común) de 7.8 (‘Alto’) en NVD y 6.8 (‘Medio’) en ‘ Detalles de CVE ‘. Esta vulnerabilidad ha sido explotada por al menos cinco grupos APT diferentes, desde diferentes ubicaciones, contra objetivos en los EE. UU., Sudeste de Asia, Europa y Medio Oriente y contra una amplia gama de industrias, incluidas agencias gubernamentales, servicios financieros, defensa, Energía, medios y más. Esta información indica claramente la importancia de la vulnerabilidad y la urgencia de parches inmediatos.
Otros datos contextuales que deberían influir en su proceso de priorización de parches son las vulnerabilidades que los actores de amenazas discuten actualmente en la Web oscura, o qué exploits se desarrollan actualmente. La inteligencia de amenazas es clave cuando tratamos de determinar qué vulnerabilidades son críticas para nuestra organización. Mantener una base de conocimiento de vulnerabilidades explotadas de acuerdo con los grupos de ataque que las aprovechan, proporciona un punto de partida sólido para la priorización de vulnerabilidades. Además, tener información sobre los grupos de ataque, por ejemplo, sus capacidades, TTP y las industrias y países a los que se dirigen, ayuda a evaluar mejor el riesgo y priorizar las actividades de parcheo.
LAS 20 PRINCIPALES VULNERABILIDADES PARA PARCHEAR AHORA
El Grupo CTI de Verint monitorea constantemente diferentes fuentes de datos de inteligencia y crea feeds CTI diarios, que incluyen las últimas actividades cibernéticas diarias. El análisis a continuación se basa en más de 5,300 feeds y otros elementos de inteligencia que el grupo ha analizado en los últimos 2,5 años, cubriendo más de 800 CVE.
Las 20 vulnerabilidades se extrajeron en función de la cantidad de veces que han sido explotadas por grupos sofisticados de ciberataques que operan en el mundo de hoy (de mayor a menor):
| No. | CVE | Productos afectados por CVE | Puntuación CVSS (NVD) | Primero-Último Visto (#Días) | Ejemplos de actores de amenazas |
| 1 | CVE-2017-11882 | Microsoft Office | 7.8 | 713 | APT32 (Vietnam), APT34 (Irán), APT40 (China), APT-C-35 (India), Cobalt Group (España, Ucrania), Silent Group (Rusia), Lotus Blossom (China), Cloud Atlas (Desconocido), FIN7 (Rusia) |
| 2 | CVE-2018-8174 | Microsoft Windows | 7.5 | 558 | Silent Group (Rusia), Dark Hotel APT (Corea del Norte) |
| 3 | CVE-2017-0199 | Microsoft Office, Windows | 7.8 | 960 | APT34 (Irán), APT40 (China), APT-C-35 (India), Cobalt Group (España, Ucrania), APT37 (Corea del Norte), Silent Group (Rusia), Gorgon Group (Pakistán), Gaza Cybergang (Irán) |
| 4 4 | CVE-2018-4878 | Adobe Flash Player, Red Hat Enterprise Linux | 9,8 | 637 | APT37 (Corea del Norte), Grupo Lazarus (Corea del Norte) |
| 5 5 | CVE-2017-10271 | Servidor Oracle WebLogic | 7.5 | 578 | Rocke Gang (Cibercrimen chino) |
| 6 6 | CVE-2019-0708 | Microsoft Windows | 9,8 | 175 | Kelvin SecTeam (Venezuela, Colombia, Perú) |
| 7 7 | CVE-2017-5638 | Apache Struts | 10 | 864 | Grupo Lazarus (Corea del Norte) |
| 8 | CVE-2017-5715 | BRAZO, Intel | 5.6 | 424 | Desconocido |
| 9 9 | CVE-2017-8759 | NET Framework microsoft | 7.8 | 671 | APT40 (China), Grupo Cobalto (España, Ucrania), APT10 (China) |
| 10 | CVE-2018-20250 | RARLAB WinRAR | 7.8 | 189 | APT32 (Vietnam), APT33 (Irán), APT-C-27 (Irán), Grupo Lazarus (Corea del Norte), MuddyWater APT (Irán) |
| 11 | CVE-2018-7600 | Debian, Drupal | 9,8 | 557 | Kelvin SecTeam (Venezuela, Colombia, Perú), tortuga marina (Irán) |
| 12 | CVE-2018-10561 | Redes DASAN | 9,8 | 385 | Kelvin SecTeam (Venezuela, Colombia, Perú) |
| 13 | CVE-2017-17215 | Huawei | 8.8 | 590 | ‘Anarquía’ (Desconocido) |
| 14 | CVE-2012-0158 | Microsoft | N / A; 9.3 (según cvedetails.com)cvedetails . com ) | 2690 | APT28 (Rusia), APT-C-35 (India), Cobalt Group (España, Ucrania), Lotus Blossom (China), Cloud Atlas (Desconocido), Goblin Panda (China), Gorgon Group (Pakistán), APT40 (China) |
| 15 | CVE-2014-8361 | D-Link, Realtek | N / A; 10 (según cvedetails.com)cvedetails . com ) | 1644 | ‘Anarquía’ (Desconocido) |
| dieciséis | CVE-2017-8570 | Microsoft Office | 7.8 | 552 | APT-C-35 (India), Grupo Cobalt (España, Ucrania), APT23 (China) |
| 17 | CVE-2018-0802 | Microsoft Office | 7.8 | 574 | Cobalt Group (España, Ucrania), APT37 (Corea del Norte), Silent Group (Rusia), Cloud Atlas (Desconocido), Cobalt Group (España, Ucrania), Goblin Panda (China), APT23 (China), APT27 (China), Rancor Group (China), Temp.Trident (China) |
| 18 años | CVE-2017-0143 | Microsoft SMB | 8.1 | 959 | APT3 (China), Calypso (China) |
| 19 | CVE-2018-12130 | Fedora | 5.6 | 167 | Tigre de Hierro (China), APT3 (China), Calypso (China) |
| 20 | CVE-2019-2725 | Servidor Oracle WebLogic | 9,8 | 144 | Panda (China) |
| PRIMA | CVE-2019-3396 | Confluencia atlassiana | 9,8 | 204 204 | APT41 (China), Rocke Gang (Cibercrimen chino) |
Fuente: cis.verint.com
