La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), la Oficina Federal de Investigaciones (FBI) y el Gobierno de los Estados Unidos en general están brindando esta orientación técnica para asesorar a los profesionales de seguridad de TI en las organizaciones del sector público y privado para que otorguen una mayor prioridad a las vulnerabilidades conocidas y más comunes explotadas por sofisticados actores maliciosos extranjeros.

Esta alerta proporciona detalles sobre vulnerabilidades explotadas rutinariamente por actores extranjeros, principalmente vulnerabilidades y exposiciones comunes (CVE), para ayudar a las organizaciones a reducir el riesgo de estas amenazas.

Los atacantes continúan explotando vulnerabilidades de software conocidas públicamente, y a menudo anticuadas, contra conjuntos de objetivos amplios, incluidas las organizaciones del sector público y privado. La explotación de estas vulnerabilidades a menudo requiere menos recursos en comparación con las vulnerabilidades 0-Day para las que no hay parches disponibles.

Las organizaciones podrían degradar algunas de estas amenazas a través de un mayor esfuerzo para actualizar sus sistemas e implementar programas para mantener los parches del sistema actualizados. Una campaña concertada para reparar estas vulnerabilidades agregaría problemas a los adversarios y los obligaría a desarrollar o adquirir exploits que son más costosos y menos efectivos. Una campaña de parches concertada también reforzaría la seguridad de la red al enfocar los escasos recursos defensivos en las actividades observadas.

Las 10 vulnerabilidades más explotadas 2016-2019

Los informes del gobierno de EE.UU. han identificado las 10 vulnerabilidades más explotadas por actores cibernéticos estatales, no estatales y no atribuidos de 2016 a 2019 de la siguiente manera: CVE-2017-11882, CVE-2017-0199, CVE-2017-5638, CVE-2012-0158 , CVE-2019-0604, CVE-2017-0143, CVE-2018-4878, CVE-2017-8759, CVE-2015-1641 y CVE-2018-7600.

Según el análisis técnico, los actores maliciosos a menudo explotan vulnerabilidades en la tecnología de vinculación e incrustación de objetos (OLE) de Microsoft. OLE permite que los documentos contengan contenido incrustado de otras aplicaciones, como hojas de cálculo. Después de OLE, la segunda tecnología vulnerable más reportada fue un marco web generalizado conocido como Apache Struts.

De las 10 principales, las tres vulnerabilidades utilizadas con mayor frecuencia en los actores patrocinados por el estado de China, Irán, Corea del Norte y Rusia son CVE-2017-11882, CVE-2017-0199 y CVE-2012-0158. Las tres vulnerabilidades están relacionadas con la tecnología OLE de Microsoft.

A diciembre de 2019, los actores estatales chinos estaban explotando con frecuencia la misma vulnerabilidad (CVE-2012-0158) que el gobierno de los EE.UU. evaluó públicamente en 2015 y fue la más utilizada en sus operaciones cibernéticas. Esta tendencia sugiere que las organizaciones aún no han implementado parches ampliamente para esta vulnerabilidad y que los actores estatales chinos pueden continuar incorporando fallas anticuadas, siempre y cuando sigan siendo efectivos.

La implementación de parches a menudo requiere que los profesionales de seguridad de TI equilibren la necesidad de mitigar las vulnerabilidades con la necesidad de mantener los sistemas en funcionamiento y garantizar que los parches instalados sean compatibles con otro software. Esto puede requerir una inversión significativa de esfuerzo, particularmente cuando se mitigan múltiples fallas al mismo tiempo.

Un estudio de la industria de los EE.UU. publicado a principios de 2019 descubrió de manera similar que los defectos que los ciberdelincuentes maliciosos explotaron de manera más consistente se encontraban en los productos de Microsoft y Adobe Flash, probablemente debido al uso generalizado de estas tecnologías.

Cuatro de los 10 defectos más explotados también aparecen en esta lista de alertas.

Vulnerabilidades explotadas en 2020

Además de las 10 vulnerabilidades principales de 2016 a 2019 enumeradas anteriormente, el informe destaca que las siguientes vulnerabilidades están siendo explotadas rutinariamente por sofisticados actores cibernéticos extranjeros en 2020:

  • Los ciber actores maliciosos se dirigen cada vez más a vulnerabilidades de VPN sin parches.
  • Se ha detectado una vulnerabilidad de ejecución de código arbitraria en dispositivos VPN Citrix, conocida como CVE-2019-19781, y que tiene exploits públicos.
  • Una vulnerabilidad arbitraria de lectura de archivos en los servidores Pulse Secure VPN, conocida como CVE-2019-11510, sigue siendo un objetivo atractivo.
  • Marzo de 2020 trajo un cambio brusco al trabajo desde el hogar que requirió, para muchas organizaciones, la implementación rápida de servicios de colaboración en la nube, como Microsoft Office 365 (O365). Los actores maliciosos están apuntando a organizaciones cuyo despliegue apresurado de Microsoft O365 puede haber llevado a descuidos en las configuraciones de seguridad.

Haga clic aquí para obtener una versión en PDF de este informe y la solución de las vulnerabilidades mencionadas.

Fuente: US-CERT

Compartir