El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido se ha asociado nuevamente con sus contrapartes en Australia, Canadá, Nueva Zelanda y los EE. UU. para resaltar algunas de las vulnerabilidades y exposiciones comunes (CVE) más impactantes explotadas por actores malintencionados en 2021, y aconsejar a las organizaciones que aún no lo han hecho, para remendar contra ellos.
Durante 12 meses llenos de acontecimientos, los ciberdelincuentes motivados financieramente y los actores de amenazas respaldados por el estado más siniestros atacaron agresivamente los sistemas orientados a Internet en un amplio conjunto de víctimas en los sectores público y privado a través de una combinación de CVE recién divulgados y vulnerabilidades más antiguas y fechadas.
Las autoridades dijeron que para la mayoría de las principales vulnerabilidades explotadas, los investigadores u otros actores publicaron un código de prueba de concepto dentro de las quince días posteriores a la divulgación inicial, lo que facilitó la explotación por parte de una gama cada vez mayor de grupos.
La lista incluye vulnerabilidades como CVE-2021-44228, también conocida como Log4Shell, dirigida al marco de registro de código abierto Apache Log4j, divulgada en diciembre de 2021 y armada rápidamente, así como el conjunto de cuatro vulnerabilidades conocidas colectivamente como ProxyLogon, y el conjunto de tres vulnerabilidades conocidas como ProxyShell, todas las cuales afectaron a los servidores de correo electrónico de Microsoft Exchange.
El aviso también advierte sobre la explotación continua de CVE-2021-26084 en Atlassian Confluence Server and Data Center, y sobre dos vulnerabilidades reveladas por primera vez en 2020 y otras que datan de 2019 y 2018, una indicación de que muchas organizaciones no están implementando parches de manera oportuna. .
“El NCSC y nuestros aliados están comprometidos a generar conciencia sobre las vulnerabilidades y presentar soluciones viables para mitigarlas”, dijo Lindy Cameron, directora ejecutiva de NCSC.
“Este aviso coloca el poder en manos de los defensores de la red para corregir las debilidades cibernéticas más comunes en el ecosistema del sector público y privado. Trabajando con nuestros socios internacionales, continuaremos creando conciencia sobre las amenazas que representan aquellos que buscan dañarnos”.
Abigail Bradshaw, jefa del Centro de Seguridad Cibernética de Australia, agregó: “Los actores cibernéticos maliciosos continúan explotando vulnerabilidades de software conocidas y fechadas para atacar redes públicas y privadas a nivel mundial. El ACSC se compromete a brindar asesoramiento sobre seguridad cibernética y compartir información sobre amenazas con nuestros socios, para garantizar un entorno en línea más seguro para todos. Las organizaciones pueden implementar las mitigaciones efectivas destacadas en este aviso para protegerse”.
Jen Easterly de CISA dijo: “CISA y nuestros socios interinstitucionales e internacionales están publicando este aviso para resaltar el riesgo que las vulnerabilidades comúnmente explotadas representan para las redes del sector público y privado.
“Sabemos que los actores cibernéticos maliciosos se enfocan en estas vulnerabilidades críticas de software en muchas organizaciones públicas y privadas en todo el mundo. CISA y nuestros socios instan a todas las organizaciones a evaluar sus prácticas de gestión de vulnerabilidades y tomar medidas para mitigar el riesgo de las vulnerabilidades explotadas conocidas descritas en este aviso”.
La lista completa es la siguiente:
- CVE-2021-44228, una vulnerabilidad de ejecución remota de código (RCE) en Apache Log4j (Log4Shell).
- CVE-2021-40539, una vulnerabilidad RCE en Zoho ManageEngine AD SelfService Plus.
- CVE-2021-44523, una vulnerabilidad de elevación de privilegios (EoP) en el servidor de Microsoft Exchange (ProxyShell).
- CVE-2021-34473, una vulnerabilidad RCE en Microsoft Exchange Server (ProxyShell).
- CVE-2021-31207, una omisión de función de seguridad en Microsoft Exchange Server (ProxyShell).
- CVE-2021-27065, una vulnerabilidad RCE en Microsoft Exchange Server (ProxyLogon).
- CVE-2021-26858, una vulnerabilidad RCE en Microsoft Exchange Server (ProxyLogon).
- CVE-2021-26857, una vulnerabilidad RCE en Microsoft Exchange Server (ProxyLogon).
- CVE-2021-28855, una vulnerabilidad RCE en Microsoft Exchange Server (ProxyLogon).
- CVE-2021-26084, una vulnerabilidad de ejecución de código arbitrario en Atlassian Confluence Server and Data Center.
- CVE-2021-21972, una vulnerabilidad RCE en VMware vSphere Client.
- CVE-2020-1472, una vulnerabilidad EOP en Microsoft Netlogon Remote Protocol (ZeroLogon).
- CVE-2020-0688, una vulnerabilidad RCE en Microsoft Exchange Server.
- CVE-2019-11510, una vulnerabilidad de lectura de archivos arbitrarios en Pulse Secure Pulse Connect Secure.
- CVE-2018-13379, una vulnerabilidad de cruce de ruta en Fortinet FortiOS y FortiProxy.
El aviso también contiene detalles de otras 21 vulnerabilidades detectadas a menudo por actores maliciosos en el último año, algunas de las cuales datan de varios años. Estos incluyen errores adicionales encontrados en los productos Acelllion, Cisco, Citrix, Microsoft, Pulse Secure, SonicWall y VMware.
Las autoridades pertinentes están alentando a los equipos de seguridad a aplicar las mitigaciones establecidas en su aviso, tomando medidas como la aplicación de parches de manera oportuna e implementando herramientas centralizadas de administración de parches para facilitar el proceso y reducir el riesgo de compromiso.
La semana pasada, la nueva inteligencia de Mandiant reveló que los actores de amenazas explotaron CVE de día cero revelados en más del doble del volumen récord anterior durante 2021, con grupos patrocinados por el estado como los principales actores que los usaron, seguidos de cerca por bandas de ransomware motivadas financieramente. Tenga en cuenta que, si bien no todos los CVE son de día cero, todos los días cero son, o lo serán en breve, un CVE.
Mandiant dijo que este gran aumento en la explotación de día cero y la diversificación de quienes los usan expandieron la cartera de riesgos para las organizaciones en todos los sectores industriales y geografías.
“Sugerimos que varios factores contribuyen al crecimiento de la cantidad de días cero explotados”, escribió James Sadowski de Mandiant. “Por ejemplo, el movimiento continuo hacia el alojamiento en la nube, los dispositivos móviles y el internet de las cosas [IoT] Las tecnologías aumentan el volumen y la complejidad de los sistemas y dispositivos conectados a Internet; en pocas palabras, más software conduce a más fallas de software.
“Es probable que la expansión del mercado de intermediarios de exploits también contribuya a este crecimiento, ya que se destinan más recursos a la investigación y el desarrollo de los días cero, tanto por parte de empresas privadas como de investigadores, así como de grupos de amenazas. Finalmente, es probable que las defensas mejoradas también permitan a los defensores detectar más explotación de día cero ahora que en años anteriores, y más organizaciones han reforzado los protocolos de seguridad para reducir los compromisos a través de otros vectores”.