Las 15 vulnerabilidades más explotadas en 2022
Por Nuestro Aliado: Sentinel One
Desde la ejecución remota de código y la escalada de privilegios hasta los desvíos de seguridad y el cruce de rutas, las vulnerabilidades de software son el stock en el comercio de un actor de amenazas para el acceso inicial y el compromiso. En los últimos 12 meses, hemos visto una serie de fallas nuevas, incluidas Log4Shell, ProxyShell y ProxyLogon, explotadas en ataques contra empresas. Estos y otros errores conocidos, algunos revelados desde 2017, continúan siendo objeto de abusos rutinarios en entornos en los que las organizaciones no han realizado un inventario y un parche adecuados. A medida que CISA lanzó su última actualización sobre las vulnerabilidades más comúnmente explotadas, echamos un vistazo a cada uno de los 15 errores más explotados de forma rutinaria que se utilizan contra las empresas en la actualidad .
1. Log4Shell (CVE-2021-44228)
Ocupando el primer lugar está la notoria falla en la biblioteca de registro Apache Java, Log4j, que se reveló por primera vez a fines de 2021. Esta vulnerabilidad de ejecución remota de código se explota ampliamente debido a la prevalencia de la biblioteca Log4j en las aplicaciones web. Fue una sorpresa para muchas organizaciones y administradores de red saber que tenían esta dependencia en su pila de software.
A medida que surgieron los detalles de la vulnerabilidad , las organizaciones responsables se esforzaron por comprender su exposición y aplicar los parches de manera oportuna, un proceso complicado por el hecho de que los investigadores pronto revelaron que varios intentos iniciales de parchear el error eran inadecuados. Sin embargo, la presencia de Log4Shell en la parte superior de la lista de los errores más explotados de forma rutinaria muestra que hay muchas organizaciones que aún no han tomado las medidas adecuadas.
2. Zoho ManageEngine ADSelfService Plus (CVE-2021-40539)
Se descubrió que Zoho ManageEngine ADSelfService Plus, hasta la versión 6113 incluida, era vulnerable a una omisión de autenticación de la API REST y a la posterior ejecución remota de código. El error, parcheado en septiembre de 2021, permite a los atacantes usar URL de API Rest especialmente diseñadas para eludir la autenticación debido a un error al normalizar la URL antes de intentar la validación. Habiendo pasado por alto el filtro de autenticación, los atacantes pueden explotar los puntos finales y realizar ataques como la ejecución de comandos arbitrarios.
El error es fácil de armar, y el software es común en la empresa, con la falla presente en la configuración predeterminada del producto. Esta combinación proporciona un alto valor para los atacantes y no sorprende que los actores de amenazas estén buscando y explotando activamente empresas con versiones vulnerables de este software.
– 5. ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523)
ProxyShell consta de tres fallas separadas en el servidor de correo electrónico de Microsoft Exchange, lo que permite la omisión de funciones de seguridad, RCE y elevación de privilegios. Cuando se encadenan en entornos expuestos, ProxyShell permite que un atacante establezca persistencia y ejecute comandos maliciosos de PowerShell . La explotación exitosa permite a los actores de amenazas tomar el control total de los servidores de correo electrónico vulnerables de Microsoft Exchange.
CISA señala que estos errores, revelados por primera vez en agosto de 2021, residen en el Servicio de acceso de cliente (CAS) de Microsoft, un servicio que generalmente se ejecuta en el puerto 443 en los Servicios de información de Internet de Microsoft (IIS) y está comúnmente expuesto a Internet para que los usuarios puede acceder al correo electrónico desde dispositivos móviles y navegadores web.
Al igual que con muchos de estos CVE, el código de prueba de concepto junto con la documentación está disponible públicamente, lo que hace que esta colección de vulnerabilidades sea muy atractiva para los atacantes.
6 – 9. ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)
Han sido unos doce meses difíciles para las organizaciones que ejecutan el servidor Microsoft Exchange. Antes de ProxyShell en agosto pasado, hubo cuatro días cero explotados activamente, conocidos colectivamente como ProxyLogon en marzo de 2021. Estas cuatro vulnerabilidades ocupan las siguientes cuatro posiciones del 6 al 9 de los 15 errores más explotados de forma rutinaria.
ProxyLogon afecta a Microsoft Exchange 2013, 2016 y 2019. Las fallas se descubrieron inicialmente después de que HAFNIUM APT con sede en China las encontrara aprovechadas en la naturaleza , pero desde entonces han sido explotadas por una amplia gama de otros actores de amenazas dado que los errores existen en las configuraciones predeterminadas del software empresarial ampliamente implementado. Se sabe que los actores maliciosos usan herramientas automatizadas para buscar e identificar activamente servidores sin parches.
Los cuatro CVE se relacionan con conexiones no confiables al servidor de Exchange en el puerto 443 y pueden explotarse sin interacción del usuario. ProxyLogon permite a los actores de amenazas eludir la autenticación, leer correos electrónicos e implementar malware en las redes empresariales. En los ataques iniciales del grupo HAFNIUM, se desplegaron webshells de varios tipos y se utilizaron herramientas adicionales para facilitar el movimiento lateral, el acceso persistente y la manipulación remota. En las campañas de HAFNIUM también se utilizaron herramientas de código abierto como PowerCAT, Nishang, 7zip, WinRAR y Procdump.
10. Centro de datos y servidor de Atlassian Confluence (CVE-2021-26084)
CVE-2021-26084 es una vulnerabilidad de seguridad de gravedad crítica que permite a un usuario no autenticado ejecutar código arbitrario en una instancia de Confluence Server o Data Center. Confluence es un servicio de estilo Wiki ampliamente implementado en entornos empresariales. Revelada en agosto de 2021, la vulnerabilidad fue y continúa siendo explotada activamente en la naturaleza, ya que los usuarios no autenticados pueden explotarla independientemente de la configuración. Desafortunadamente, la divulgación inicial pasó desapercibida en muchas empresas y, en septiembre, USCYBERCOM advirtió sobre la explotación masiva en curso.
El error permite que un actor de amenazas ejecute comandos con los mismos permisos que el usuario que ejecuta el servicio. Si bien inicialmente se pensó que la falla solo podía ser explotada por un usuario con una cuenta válida en el sistema, posteriormente resultó que cualquier usuario no autenticado podría desencadenar la vulnerabilidad. El código de explotación público existe y los actores de amenazas lo utilizan activamente contra instancias vulnerables.
11. Cliente VMware vSphere (CVE-2021-21972)
En febrero de 2021, VMware reveló que vSphere Client (HTML5) contiene una vulnerabilidad de ejecución remota de código en un complemento de vCenter Server, calificando la vulnerabilidad como Crítica con una calificación de gravedad de 9.8.
VMware vSphere es un conjunto de productos de virtualización de servidores para infraestructura corporativa e incluye hipervisor ESXi y software de administración vCenter. El software se encuentra comúnmente en redes internas. La explotación de CVE-2021-21972 permite a un actor malintencionado con acceso de red al puerto 443 ejecutar comandos con privilegios sin restricciones en el sistema operativo host.
Pronto se informó sobre el escaneo masivo dirigido a servidores VMware vCenter vulnerables , y se publicó en línea el código de prueba de concepto para explotar la vulnerabilidad.
12. Inicio de sesión cero (CVE-2020-1472)
No todas las 15 vulnerabilidades más explotadas de forma rutinaria se descubrieron el año pasado; otros continúan siendo explotados a pesar de que las mitigaciones para ellos han estado disponibles durante mucho tiempo. El principal de ellos es el notorio error ZeroLogon de agosto de 2020. Revelado un mes después de que Microsoft lo parchó, ZeroLogon es un error de elevación de privilegios que gira en torno a una falla criptográfica en el protocolo remoto Netlogon de Active Directory de Microsoft (MS-NRPC). Al explotar el error, un atacante no autenticado puede iniciar sesión en servidores que utilizan NT LAN Manager (NTLM).
La vulnerabilidad radica en el hecho de que, al intentar implementar un algoritmo de cifrado personalizado en MS-NRPC, Microsoft cometió un error crítico al establecer el vector de inicialización (IV) en ceros en lugar de un número aleatorio. La explotación de la vulnerabilidad permite a un atacante remoto falsificar un token de autenticación para Netlogon y establecer la contraseña de la computadora del controlador de dominio en un valor conocido. Los actores maliciosos pueden aprovechar esta vulnerabilidad para comprometer otros dispositivos en la red. Posteriormente, los investigadores descubrieron otras formas de hacer operativo Zerologon, incluida la extracción de todas las contraseñas de dominio.
13. Servidor de Microsoft Exchange (CVE-2020-0688)
También revelado por primera vez en 2020, CVE-2020-0688 es otra vulnerabilidad de ejecución remota de código en Microsoft Exchange Server que ocurre cuando el servidor no crea correctamente claves únicas en el momento de la instalación. Según el CVE, el conocimiento de la clave de validación permite que un usuario autenticado con un buzón de correo pase objetos arbitrarios para que la aplicación web los deserialice, que se ejecuta como SISTEMA.
En septiembre de 2020, CISA informó que los actores afiliados a China estaban explotando CVE-2020-0688 para la ejecución remota de código para permitir la recopilación de correo electrónico de redes específicas. En julio de 2021 y nuevamente en febrero de 2022 , CISA informó además que los actores de amenazas afiliados a Rusia estaban explotando CVE-2020-0688 para aumentar los privilegios y obtener la ejecución remota de código en servidores vulnerables de Microsoft Exchange.
14. Pulse Secure Pulse Connect Secure (CVE-2019-11510)
CVE-2019-11510 es una vulnerabilidad que afecta a los dispositivos Pulse Secure VPN que permite a los actores de amenazas obtener acceso a las redes de las víctimas. Un atacante remoto no autenticado puede enviar un URI especialmente diseñado para realizar una vulnerabilidad de lectura de archivos arbitraria. Esta falla ha sido explotada por actores chinos y rusos y utilizada en campañas extendidas dirigidas a los datos de investigación de COVID-19 durante la reciente pandemia.
Se lanzaron parches para esta vulnerabilidad en abril de 2019; sin embargo, se han producido varios incidentes en los que se usaron credenciales de AD comprometidas meses después de que las organizaciones víctimas parchearan su dispositivo VPN. CISA también dice que ha respondido a numerosos incidentes en el gobierno de EE. UU. y entidades comerciales donde los actores maliciosos de amenazas cibernéticas han explotado CVE-2019-11510.
15. Fortinet FortiOS y FortiProxy (CVE-2018-13379)
Cuatro años en estado salvaje y aún se encuentra entre las 15 vulnerabilidades más explotadas de forma rutinaria, CVE-2018-13379 es una vulnerabilidad de ruta transversal en el portal web FortiProxy SSL VPN. En la explotación, el error puede permitir que un atacante remoto no autenticado descargue archivos del sistema FortiProxy a través de solicitudes de recursos HTTP especialmente diseñadas.
Como era de esperar de una vulnerabilidad que se ha explotado durante más de 4 años, tiene un largo historial y se ha utilizado para implementar ransomware y robar datos. CISA ha publicado varios avisos a lo largo de los años que detallan su uso por parte de actores estatales rusos e iraníes .
Recientemente, en febrero de 2022, SentinelLabs rastreó al actor de amenazas alineado con Irán, TunnelVision , haciendo un buen uso de CVE-2018-13379, junto con otras vulnerabilidades mencionadas anteriormente, como Log4Shell y ProxyShell, para atacar organizaciones.
Conclusión
Los equipos de seguridad empresarial exitosos entienden que las vulnerabilidades antiguas nunca desaparecen, y aunque el enfoque y los simulacros de incendio suelen estar en torno a los últimos CVE que aparecen en las noticias, la lista anual de CISA de las vulnerabilidades más explotadas de forma rutinaria ofrece una advertencia para todos nosotros: encuentre las vulnerabilidades. en su pila de software antes de que lo hagan los actores de amenazas. Es importante recordar que, desde el punto de vista de un atacante, apuntar a fallas antiguas sigue siendo un vector de ataque exitoso y es menos laborioso que descubrir y desarrollar nuevos días cero, particularmente cuando la mayoría de las fallas críticas suelen tener un código de explotación de prueba de concepto disponible públicamente.
Esperamos que al llamar la atención sobre esta lista, los equipos de seguridad de la empresa hagan un esfuerzo renovado para garantizar que no sean los próximos en verse comprometidos por una dependencia de software sin parches.
Si desea ver cómo SentinelOne puede ayudar a su organización a defenderse de ataques de todo tipo, contáctenos o solicite una demostración gratuita .
Fuente: https://www.sentinelone.com/blog/enterprise-security-essentials-top-15-most-routinely-exploited-vulnerabilities-2022/
0 comentarios