La cantidad de vulnerabilidades de macOS explotadas en 2023 aumentó en más del 30%, según un nuevo informe. El Informe de clasificación de vulnerabilidades de software 2024 de la empresa de software de gestión de parches Action1 también encontró que los programas de Microsoft Office se están volviendo más explotables, mientras que los atacantes apuntan a balanceadores de carga como NGINX y Citrix a un ritmo récord.
Los analistas de Action1 utilizaron datos de la Base de datos nacional de vulnerabilidad y CVEdetails.com para extraer cinco ideas sobre cómo cambió el panorama de amenazas de 2022 a 2023. El mantenimiento del NVD se ha ralentizado significativamente desde febrero a medida que el Instituto Nacional de Estándares y Tecnología intenta hacer frente a una acumulación de fallas de software y hardware presentadas. El NIST dijo que la desaceleración fue el resultado de “un aumento en el software y, por lo tanto, las vulnerabilidades, así como un cambio en el apoyo interinstitucional”.
1. macOS e iOS son cada vez más objetivos
El informe encontró que las tasas de explotación que experimentaron macOS e iOS aumentaron un 7% y un 8% entre 2022 y 2023, lo que sugiere que están siendo cada vez más atacados por malos actores.
La tasa de explotación se define como la relación entre las vulnerabilidades explotadas y el número total de vulnerabilidades y proporciona una medida de la susceptibilidad del software a la explotación. Por el contrario, las tasas de explotación de los sistemas operativos de escritorio de Windows se mantuvieron estables en un 4%, lo que demuestra cómo Microsoft tiene un proceso de gestión de vulnerabilidades estable.
A pesar de que el número total de vulnerabilidades de macOS identificadas disminuyó un 29 % en 2023, se informaron 18 vulnerabilidades explotadas, lo que supone un aumento de más del 30 % con respecto al año anterior.
En lo que respecta a los sistemas operativos móviles, la tasa de explotación del 8% de iOS fue claramente superior al 0,2% de Android. Esto muestra que, a pesar de que los dispositivos Android tenían más vulnerabilidades reportadas en total, los actores de amenazas centraban sus esfuerzos en explotar los iPhone.
iOS también sufrió la mayor cantidad de ataques de explotación remota de código de todos los sistemas operativos móviles analizados durante 2021, 2022 y 2023. Una aplicación con un mayor recuento de RCE puede tener más puntos de entrada potenciales para que los atacantes exploten. Los autores del informe dicen que la naturaleza específica de los iPhones posiblemente se deba a la percepción de los valiosos datos que almacenan.
“El aumento de vulnerabilidades explotadas para MacOS e iOS es una tendencia preocupante para Apple”, escribieron los analistas. “Por alguna razón, la empresa no logra corregir las vulnerabilidades antes de que los atacantes las exploten.
“Para las organizaciones, esto significa que no sólo deben garantizar actualizaciones periódicas para el sistema operativo Apple, sino también considerar implementar medidas de seguridad adicionales para los dispositivos Mac”.
2. Los balanceadores de carga tienen una tasa de explotación récord
Los balanceadores de carga NGINX y Citrix tuvieron tasas de explotación muy altas en 2023: 100% y 57%, respectivamente. A pesar de que las vulnerabilidades del balanceador de carga representan solo el 0,2 % del número total de vulnerabilidades entre 2021 y 2023, las tasas de explotación son significativas debido al impacto potencial que puede tener una explotación exitosa.
Los atacantes pueden obtener la capacidad de interceptar, modificar y redirigir el tráfico de la red, accediendo así a datos confidenciales e interrumpiendo los servicios. Los balanceadores de carga comprometidos también pueden servir como puntos de entrada para lanzar más ataques dentro de la red.
VER: Alrededor de 2000 Citrix NetScalers se vieron comprometidos en campañas de ataques masivos
Por ejemplo, la vulnerabilidad de día cero de CitrixBleed de 2023 permitió a los atacantes enviar una solicitud HTTP GET de gran tamaño a un NetScaler ADC o Citrix Gateway, lo que provocó un desbordamiento del búfer y una pérdida de memoria adyacente. La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos advirtió a más de 300 empresas sobre su exposición, y la empresa de telecomunicaciones Xfinity dijo que la información confidencial de 36 millones de clientes fue robada mediante ataques de CitrixBleed.
Los autores del informe escribieron: “Para las organizaciones, esto significa que deben prestar mucha atención para garantizar actualizaciones periódicas del balanceador de carga Citrix o buscar alternativas, teniendo en cuenta las necesidades de la empresa”.
3. Aumentan las vulnerabilidades de Microsoft SQL Server RCE
En 2023, se identificaron 17 vulnerabilidades en Microsoft SQL Server, lo que supone un aumento del 1.600% respecto a años anteriores. Cada uno era un RCE, lo que demuestra su preocupante número de puntos de entrada. El aumento sugiere que los atacantes son cada vez más rápidos a la hora de descubrir y explotar RCE desconocidos, y que es posible que queden más vulnerabilidades no descubiertas en Microsoft SQL.
Los autores del informe escribieron: “MSSQL es un objetivo lucrativo para los piratas informáticos debido a su uso generalizado en entornos empresariales, ya que alberga datos valiosos como información de clientes y registros financieros. Su accesibilidad remota lo hace susceptible de explotación desde cualquier lugar.
“En consecuencia, las organizaciones deben priorizar medidas de seguridad sólidas para salvaguardar sus servidores MSSQL y evitar posibles violaciones de datos”.
VER: Las vulnerabilidades de seguridad de Microsoft disminuyeron un 5% en 2023, según un informe de BeyondTrust
4. Microsoft Office atacado debido a la probabilidad de error humano
Microsoft Office tiene el mayor número total de vulnerabilidades entre todas las aplicaciones de Office. Alrededor del 80% de sus vulnerabilidades se consideran críticas cada año, y entre el 40 y el 50% de ellas son RCE. Además, su tasa de explotación aumentó un 5% en 2023.
Los atacantes consideran que las aplicaciones de Office son más fácilmente explotables que otro software porque están orientadas al usuario y, por lo tanto, son propensas a errores humanos. Las interacciones comunes de los usuarios, como abrir documentos, habilitar macros y hacer clic en enlaces incrustados, pueden utilizarse como parte de ataques de phishing.
VER: Follina abusa de Microsoft Office para ejecutar código remoto
Microsoft Office, en particular, se utiliza ampliamente y, por lo tanto, presenta la mejor oportunidad para un ataque exitoso de esta naturaleza, ya que los usuarios lo reconocen y confían en él. Los autores escribieron que podemos esperar más ataques de phishing destinados a explotar las vulnerabilidades de MS Office.
Escribieron: “Esto subraya la necesidad de que los CISO impongan conciencia de seguridad entre los empleados y mejoren el monitoreo de terminales con sistemas de protección de terminales, además de parches sólidos”.
5. Microsoft Edge experimenta un aumento en RCE y vulnerabilidades
Edge experimentó el mayor número total de vulnerabilidades RCE entre los principales navegadores web en los últimos tres años, con 14. El número creció un 500% de 2021 a 2022, y luego un 17% de 2022 a 2023. Representaron el 10% de todos los reportados. vulnerabilidades, mientras que solo el 1% de las vulnerabilidades en Chrome y Firefox eran RCE.
VER: hoja de trucos de Microsoft Edge
Además, Edge tuvo una tasa de explotación de vulnerabilidades del 7% en 2023 (un aumento con respecto al 5% de 2022), mientras que Chrome y Firefox tenían alrededor del 2% y el 3%, respectivamente. Si bien Edge en realidad tuvo el menor número de vulnerabilidades reportadas de los tres navegadores en 2022 y 2023, su explotación está resultando ser la más lucrativa para los atacantes.
Los autores del informe explicaron: “El hecho de que Edge enfrente un aumento en RCE y vulnerabilidades explotadas, a pesar de tener un número relativamente bajo de vulnerabilidades totales, sugiere que Microsoft aún no aplica activamente un programa de gestión de vulnerabilidades para este navegador web con tanto rigor como lo hace Google”. para Chrome o Mozilla lo hace para Firefox.
“Esto implica que puede que no sea una buena idea utilizar Edge como el principal navegador web corporativo”.
