Las Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), el Centro Australiano de Seguridad Cibernética (ACSC), el El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y la Oficina Federal de Investigaciones (FBI) emitieron un aviso conjunto el miércoles que detalla las vulnerabilidades más explotadas en 2020 y 2021, demostrando una vez más cómo los actores de amenazas pueden convertir en armas las fallas reveladas públicamente en su beneficio rápidamente.
«Los actores maliciosos continúan explotando vulnerabilidades de software conocidas públicamente, y a menudo anticuadas, contra un amplio conjunto de objetivos, incluidas las organizaciones del sector público y privado en todo el mundo», señalaron las Agencias. «Sin embargo, las entidades de todo el mundo pueden mitigar las vulnerabilidades enumeradas en este informe aplicando los parches disponibles a sus sistemas e implementando un sistema de administración de parches centralizado».
Las 30 vulnerabilidades principales abarcan una amplia gama de software, incluido el trabajo remoto, las redes privadas virtuales (VPN) y las tecnologías basadas en la nube, que cubren un amplio espectro de productos de Microsoft, VMware, Pulse Secure, Fortinet, Accellion, Citrix, F5. Big IP, Atlassian y Drupal.
Las fallas más explotadas de forma rutinaria en 2020 son las siguientes:
- CVE-2019-19781 (CVSS score: 9.8) – Citrix Application Delivery Controller (ADC) and Gateway directory traversal vulnerability
- CVE-2019-11510 (CVSS score: 10.0) – Pulse Connect Secure arbitrary file reading vulnerability
- CVE-2018-13379 (CVSS score: 9.8) – Fortinet FortiOS path traversal vulnerability leading to system file leak
- CVE-2020-5902 (CVSS score: 9.8) – F5 BIG-IP remote code execution vulnerability
- CVE-2020-15505 (CVSS score: 9.8) – MobileIron Core & Connector remote code execution vulnerability
- CVE-2020-0688 (CVSS score: 8.8) – Microsoft Exchange memory corruption vulnerability
- CVE-2019-3396 (CVSS score: 9.8) – Atlassian Confluence Server remote code execution vulnerability
- CVE-2017-11882 (CVSS score: 7.8) – Microsoft Office memory corruption vulnerability
- CVE-2019-11580 (CVSS score: 9.8) – Atlassian Crowd and Crowd Data Center remote code execution vulnerability
- CVE-2018-7600 (CVSS score: 9.8) – Drupal remote code execution vulnerability
- CVE-2019-18935 (CVSS score: 9.8) – Telerik .NET deserialization vulnerability resulting in remote code execution
- CVE-2019-0604 (CVSS score: 9.8) – Microsoft SharePoint remote code execution vulnerability
- CVE-2020-0787 (CVSS score: 7.8) – Windows Background Intelligent Transfer Service (BITS) elevation of privilege vulnerability
- CVE-2020-1472 (CVSS score: 10.0) – Windows Netlogon elevation of privilege vulnerability
La lista de vulnerabilidades que han estado bajo ataque activo hasta ahora en 2021 se enumeran a continuación:
- Microsoft Exchange Server: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065 (aka «ProxyLogon»)
- Pulse Secure: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899, and CVE-2021-22900
- Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, and CVE-2021-27104
- VMware: CVE-2021-21985
- Fortinet: CVE-2018-13379, CVE-2020-12812, and CVE-2019-5591El desarrollo también se produce una semana después de que MITRE publicara una lista de los 25 errores de software «más peligrosos» que podrían generar vulnerabilidades graves que un adversario podría aprovechar para tomar el control de un sistema afectado, obtener información confidencial o causar una negación. condición de servicio.
«El aviso pone en manos de cada organización corregir las vulnerabilidades más comunes, como los dispositivos de puerta de enlace VPN sin parches», dijo el Director de Operaciones de NCSC, Paul Chichester, al tiempo que instaba a priorizar el parcheo riesgo de ser explotado por actores malintencionados.