¿Cuáles fueron las vulnerabilidades de seguridad más explotadas de forma rutinaria en 2021?
Un nuevo informe publicado por CISA en cooperación con las autoridades de los Estados Unidos, Australia, Canada, Nueva Zelanda, y el Reino Unido revelaron un aviso que contiene las vulnerabilidades más explotadas en ciberataques.
Así, que dice el aviso?
Las vulnerabilidades más explotadas en 2021
El año pasado, en una escala global, los actores de amenazas se dirigieron principalmente a los sistemas orientados a Internet, incluyendo servidores de correo electrónico y VPN (red privada virtual) servidores que utilizan fallas de seguridad recientemente reveladas. Es de destacar que, para un número predominante de los principales errores explotados, investigadores u otros actores publicaron códigos de prueba de concepto (PoC) dentro de las dos semanas posteriores a la divulgación de la vulnerabilidad. Esta acción demuestra que facilita la explotación por parte de una gama más amplia de actores de amenazas., CISA señaló.
Los actores de amenazas también continuaron apalancándose públicamente, fallas de software antiguas, algunos de los cuales fueron explotados en 2020 y años anteriores. La explotación de vulnerabilidades más antiguas revela el riesgo extendido para las organizaciones que no abordan los problemas en sus productos de software.. El uso de software que ya no es compatible con un proveedor demuestra el mismo riesgo.
La lista de dichas vulnerabilidades incluye lo siguiente…
CVE-2021-44228, o el exploit Log4Shell
CVE-2021-44228, o el llamado exploit Log4Shell, afecta la biblioteca Log4j de Apache, un marco de registro de código abierto. Los piratas informáticos pueden explotar el problema mediante el uso de una solicitud especialmente diseñada para un sistema expuesto, provocando la ejecución de código arbitrario y la toma de control del sistema completo. Una vez que esto se logra, el actor de amenazas puede robar información, lanzar ransomware, o llevar a cabo otras actividades maliciosas. El exploit Log4Shell fue revelado en diciembre 2021, pero su explotación rápida y generalizada muestra las habilidades extendidas de los actores de amenazas para armar rápidamente fallas conocidas y organizaciones objetivo antes de parchear, CISA señaló.
Es de destacar que el exploit fue aprovechado por la familia de ransomware Khonsari en ataques contra servidores de Windows.. Los mismos ataques estaban descargando una carga útil maliciosa adicional: el troyano de acceso remoto Orcus..
Las vulnerabilidades de ProxyLogon
Las vulnerabilidades se conocen bajo estos identificadores.: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, y CVE-2021-27065. Afectan a Microsoft Exchange Server. Las versiones afectadas incluyen Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, y Microsoft Exchange Server 2019.
los defectos han sido utilizados como parte de una cadena de ataque. Para ser iniciado con éxito, un ataque requiere una conexión no confiable a un puerto de servidor Exchange específico, 443. Esta laguna se puede proteger restringiendo la conexión que no es de confianza, o configurando una VPN para separar el servidor del acceso externo. Sin embargo, estos trucos de mitigación solo ofrecen protección parcial. La compañía advierte que otras partes del ataque en cadena pueden desencadenarse si un atacante ya tiene acceso o puede convencer a un administrador para que ejecute un archivo malicioso..
La explotación de ProxyShell
CISA lanzó una alerta en agosto pasado advirtiendo que los ciberdelincuentes estaban explotando las llamadas vulnerabilidades de Microsoft Exchange de ProxyShell, conocido como CVE-2021-34473, CVE-2021-34523, y CVE-2021-31207. La explotación exitosa permite a los actores de amenazas remotos realizar la ejecución de código arbitrario. “Estas vulnerabilidades residen dentro del Servicio de acceso de cliente de Microsoft (CASO), que normalmente se ejecuta en el puerto 443 en Servicios de información de Internet de Microsoft (IIS) (e.g., servidor web de microsoft). CAS se expone comúnmente a Internet para permitir que los usuarios accedan a su correo electrónico a través de dispositivos móviles y navegadores web.,señaló CISA.
La falla crítica de la confluencia de Atlassian
CVE-2021-26084 es una vulnerabilidad en Atlassian Confluence implementaciones en Windows y Linux. La falla es crítica, y ha sido explotado para implementar shells web que provocan la ejecución de mineros de criptomonedas en sistemas vulnerables. el problema está relacionado con un lenguaje de navegación de objeto-gráfico (OGNL) inyección en el módulo Webwork de Atlassian Confluence Server and Data Center. La vulnerabilidad puede ser aprovechada por atacantes remotos enviando solicitudes HTTP diseñadas con un parámetro malicioso a un servidor vulnerable.. Esto podría conducir a la ejecución de código arbitrario "en el contexto de seguridad del servidor afectado,” como lo señalaron los investigadores de Trend Micro al momento de la divulgación.
“Tres de los mejores 15 vulnerabilidades explotadas rutinariamente también fueron explotadas rutinariamente en 2020: CVE-2020-1472, CVE-2018 a 13379, y CVE-2019-11510. Su explotación continua indica que muchas organizaciones no parchean el software de manera oportuna y siguen siendo vulnerables a los actores cibernéticos maliciosos.,” Asesoramiento de CISA dijo.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: