Tendencias de vulnerabilidad KEV del servicio perimetral
El 64% de todas las vulnerabilidades y exposiciones comunes (CVE) de infraestructura y servicios de borde en el Catálogo de vulnerabilidades explotadas conocidas (KEV) existen por encima del percentil 97,5 de las puntuaciones EPSS (una métrica que califica las CVE en función de la probabilidad de explotación). Sólo el 23% de todos los demás CVE del KEV están por encima del percentil 97,5.
Además, los CVE de infraestructura y servicios de borde agregados al KEV en los últimos dos años son, en promedio, un 11 % más altos en severidad que otros CVE.
La cantidad de CVE de infraestructura y servicios de borde agregados al KEV por mes en 2024 es un 22 % mayor que en 2023, mientras que la cantidad de otros CVE agregados al KEV por mes se redujo un 56 % en comparación con 2023.
Varios informes recientes indican que la explotación masiva puede haber superado a las botnets como principal vector de incidentes de ransomware.
Ha habido un ritmo rápido de incidentes de seguridad causados por la explotación masiva de software vulnerable como MOVEit , CitrixBleed, Cisco XE, FortiOS de Fortiguard, Ivanti ConnectSecure, PAN-OS de Palo Alto, Junos de Juniper y ConnectWise ScreenConnect .
Los servicios perimetrales son objetivos extremadamente atractivos para los atacantes. Están expuestos a Internet y están destinados a proporcionar servicios críticos a usuarios remotos, para que atacantes remotos puedan abusar de ellos.
Los dispositivos de infraestructura son objetivos atractivos para los atacantes
De manera similar, los dispositivos de infraestructura son atractivos para los atacantes porque son cajas negras que los administradores de red no pueden examinar ni monitorear fácilmente y no tienen software EDR instalado. Es difícil para los administradores de red verificar que sean seguras y, a menudo, deben confiar en ello. Ciertos tipos de estos dispositivos también brindan servicios de vanguardia y, por lo tanto, son accesibles a Internet.
«Sólo se requiere una cosa para que ocurra un incidente de explotación masiva, y es un servicio de borde vulnerable, una pieza de software al que se puede acceder desde Internet», dijo Stephen Robinson , analista senior de amenazas de WithSecure Intelligence.
“Lo que muchos servicios de borde explotados tienen en común es que son dispositivos de infraestructura, como firewalls, puertas de enlace VPN o puertas de enlace de correo electrónico, que comúnmente son dispositivos bloqueados similares a cajas negras. Dispositivos como estos a menudo tienen como objetivo hacer que una red sea más segura, pero una y otra vez se han descubierto vulnerabilidades en dichos dispositivos y los atacantes las han explotado, proporcionando un punto de apoyo perfecto en una red objetivo”, añadió Robinson.
La investigación encuentra que la explotación masiva es el nuevo principal vector de ataque observado para los atacantes de ransomware y espionaje de estados-nación. Además, la capacidad y la experiencia necesarias para explotar las vulnerabilidades de un día y de cero son más accesibles que nunca para los ciberdelincuentes con motivación financiera.
«Es probable que la explotación masiva se esté convirtiendo en el principal vector de ataque, ya sea porque hay tantos servicios de borde vulnerables o porque los atacantes y defensores ahora son más conscientes de los servicios de borde vulnerables debido a la prevalencia de la explotación masiva», concluye Robinson.
Fuente y redacción: helpnetsecurity.com