El 44% de los ataques de día cero explotados en 2024 se produjeron en soluciones empresariales

En 2024, los actores de amenazas explotaron 75 días cero (es decir, vulnerabilidades previamente desconocidas para los proveedores y, por lo tanto, sin un parche fácilmente disponible) en una amplia variedad de ataques.

De estas, 33 vulnerabilidades (44%) afectaron soluciones empresariales, lo que representa un aumento respecto del 37% en 2023 , según los investigadores de Google Threat Intelligence Group.

“Las vulnerabilidades de día cero en software y dispositivos de seguridad fueron un objetivo de alto valor en 2024. Identificamos 20 vulnerabilidades de seguridad y red, lo que representó más del 60 % de toda la explotación de día cero de tecnologías empresariales”, señalaron .

“La explotación de estos productos, en comparación con las tecnologías de usuario final, puede conducir de forma más eficaz y eficiente a extensas vulnerabilidades del sistema y la red, y prevemos que los adversarios seguirán aumentando su enfoque en estas tecnologías”.

Hallazgos interesantes

Google Threat Intelligence Group ha publicado su análisis anual de las vulnerabilidades de día cero explotadas durante el último año y ha identificado una serie de tendencias interesantes en el ámbito de la tecnología del usuario final:

La explotación de día cero en navegadores y dispositivos móviles cayó drásticamente, en comparación con las cifras de 2023: 17 a 11 para navegadores y 17 a 9 para dispositivos móviles.
Las cadenas de explotación que constan de varios días cero están destinadas casi exclusivamente a atacar a los usuarios móviles.
Se ha observado una marcada disminución en la explotación de vulnerabilidades en el navegador Safari de Apple y el sistema operativo móvil iOS.

Fuente: GTIG

Desde el punto de vista tecnológico centrado en la empresa, cabe destacar que los atacantes apuntaron a vulnerabilidades en soluciones de 18 proveedores únicos (de un total de 20).

“Los proveedores afectados por múltiples vulnerabilidades de día cero en 2024 generalmente se dividían en dos categorías: grandes tecnológicas (Microsoft, Google y Apple) y proveedores que ofrecen productos de seguridad y de red”, determinaron.

Como era de esperar, las grandes tecnológicas ocuparon los dos primeros puestos: Microsoft en el 26.º y Google en el 11.º. Apple descendió al cuarto puesto como proveedor más atacado este año, con solo cinco ataques de día cero detectados. Ivanti ocupó el tercer lugar con siete ataques de día cero, lo que refleja un mayor enfoque de los ciberdelincuentes en los productos de redes y seguridad.

El ascenso de Ivanti en la lista se debe en parte a un aumento de la explotación de las tecnologías de seguridad y red por parte de actores de amenazas respaldados por la República Popular China.

“Las herramientas y dispositivos de seguridad y red están diseñados para conectar sistemas y dispositivos generalizados con altos permisos requeridos para administrar los productos y sus servicios, lo que los convierte en objetivos muy valiosos para los actores de amenazas que buscan un acceso eficiente a las redes empresariales”, explicaron los investigadores.

Las herramientas de detección y respuesta de endpoints (EDR) no suelen estar equipadas para funcionar en estos productos, lo que limita las capacidades disponibles para monitorearlos. Además, no suelen requerirse cadenas de exploits para explotar estos sistemas, lo que otorga un gran poder a vulnerabilidades individuales que, por sí solas, pueden lograr la ejecución remota de código o la escalada de privilegios.

Y mientras los piratas informáticos patrocinados por el Estado se concentraron en explotar los días cero en firewalls , VPN y dispositivos de seguridad , los grupos con motivaciones económicas se concentraron en atacar productos vulnerables de transferencia administrada de archivos ( por ejemplo, Cleo ).

Como era de esperar, los proveedores comerciales de spyware continuaron aprovechando los ataques de día cero. «En 2024, observamos múltiples cadenas de explotación que utilizaban ataques de día cero desarrollados por proveedores forenses que requerían acceso físico a un dispositivo (CVE-2024-53104, CVE-2024-32896, CVE-2024-29745, CVE-2024-29748). Estos errores permiten a los atacantes desbloquear el dispositivo móvil objetivo con dispositivos USB maliciosos personalizados», señalaron los investigadores.

Consejos para vendedores

Los tipos más frecuentes de vulnerabilidades de día cero explotadas en 2024 fueron las de uso después de la liberación, inyección de comando/código y vulnerabilidades de secuencias de comandos entre sitios, y estas pueden prevenirse priorizando estándares de codificación más altos y prácticas preventivas como revisiones periódicas de código, refactorización de bases de código obsoletas y confiando en bibliotecas confiables y actualizadas, señalaron los investigadores.

Los proveedores recientemente atacados y los proveedores de productos empresariales que cada vez son más atacados deberían mejorar sus prácticas y procedimientos de seguridad, reforzar los mecanismos de protección y considerar abordar las brechas en las configuraciones y decisiones arquitectónicas que podrían permitir la explotación.

Seguimos observando los mismos tipos de vulnerabilidades explotadas a lo largo del tiempo, lo que indica patrones en las debilidades que los atacantes buscan y encuentran más beneficiosas para explotar. La persistencia y explotación de problemas similares facilita los ataques de día cero; los actores de amenazas saben qué buscar y dónde están más extendidas las debilidades explotables, añadieron.

Fuente y redacción: helpnetsecurity.com / Zeljka Zorz

Hallazgos interesantes

Fuente: GTIG

Consejos para vendedores

Vulnerabilidad 0-Day del kernel de Windows utilizada en ataques dirigidos.

El Primer gran ciberataque contra la Apple Store

CrowdStrike revela la causa raíz de las interrupciones del sistema global