Panorama de vulnerabilidades primer semestre 2022

Durante el primer semestre de 2022 la cantidad de vulnerabilidades se ha mantenido con tendencias similares a años anteriores, que pese a  observar CVE críticos, ninguno han logrado generar el nivel de impacto que marcó el ahora icónico Log4J durante fines de 2021 y que llevó a equipos de respuesta a incidentes a actuar rápidamente de forma global.

Basado en el registro histórico que mantiene Nist y  abarcando un periodo del primer semestre del 2022  se identifica que existe un total de 2309 CVE’s más en comparación al mismo periodo de 2021, evidenciando un claro aumento en las vulnerabilidades disponibles, as cuales abarcan múltiples marcas y productos, siendo los productos Microsoft los líderes en cuanto a vulnerabilidades, lo que también se explica por su amplio uso y variedad de softwares generados por la marca.

Esta brecha en vulnerabilidades se debe principalmente al constante aumento de la actividad de las personas online, generando que cada vez existan más y mejores investigadores capaces de encontrar incluso vulnerabilidades con mayor velocidad que años anteriores, asi como la guerra entre Rusia y Ucrania que develó ayudó a promover en gran medida los ciberataques.

Comparativa de total de vulnerabilidades Q1 y Q2 de años 2020, 2021 y 2022

Mientras que si se genera un desglose de esos por mes, se aprecian las diferencias de mejor manera pudiendo identificar que durante el mes de febrero y mayo existió la mayor diferencia en cantidad de vulnerabilidades en comparación años anteriores

Desglose con total de CVE por mes para Q1 y Q2 de años 2020, 2021 y 2022

Dentro de esta misma línea de análisis, desde CISA US se publican constantemente cuales son los productos que cuentan con una mayor explotabilidad en el panorama global, destacando que del total de registros del Top 10 de las marcas con mayor incidencia se encabeza por Microsoft: 

CVE explotados activamente publicados por CISA US 

Microsoft en el top de vulnerabilidades

Tal como se observa desde diferentes fuentes, Microsoft suele estar a la cabeza en cuanto a cantidad de vulnerabilidades y pese a que resulta llamativo este comportamiento, se justifica debido a que es propietario de aproximadamente 710 soluciones, productos y/o servicios, los cuales si bien de forma independiente no abarcaría tal volumen de vulnerabilidades, agrupados por la marca resultan bastante significativos.

Por otra parte, el mantener un ciclo de calendario de soluciones como lo es Patch Thuesday, responde a procesos de mejora continua que respaldan a sus tecnologías y representan un activo trabajo en busca de soluciones.

Del total de vulnerabilidades reportadas mediante Patch Thuesday se identifica un total de 549 vulnerabilidades de las cuales sólo 37 se han identificado como críticas, representando solo un 6,7% del total y que si  bien pueden terminar en vulneraciones graves a sistemas, se debe comprender que corresponden solo a un número limitado de sus productos, de los cuales la mayoría corresponde a diferentes versiones de Windows

Cabe destacar que del total de vulnerabilidades críticas, solo CVE-2022-24760 ha sido clasificada con criticidad 10/10

Dentro de la misma línea de CVE añadidos al listado de vulnerabilidades más explotadas ofrecida por CISA se identifica mediante diferentes fuentes de información que las vulnerabilidades más explotadas en el primer semestre de 2022 corresponden a aquellas que no han sido liberadas recientemente y que incluso cuentan hasta con 12 años de diferencia entre su descubrimiento y su adición a este listado, evidenciando claras falencias en mecanismos de seguridad, parches y actualizaciones dentro de las organizaciones.

1. CVE-2017-11882 Microsoft
2. CVE-2012-0158 Microsoft
3. CVE-2018-11776 Apache
4. CVE-2017-0199 Microsoft
5. CVE-2017-8759 Microsoft
6. CVE-2010-3333 Microsoft
7. CVE-2014-1761 Microsoft
8. CVE-2018-0802 Microsoft
9. CVE-2018-20250 RARLAB
10. CVE-2010-2883 Adobe

Si bien las organizaciones más proactivas suelen generar procesos de parchado dentro de la primera semana de descubrimiento, existen otras que funcionan bajo el lema “si funciona no se toca” que incluso pueden ser directrices desde la alta dirección, revelando graves falencias en sus políticas.

Este comportamiento suele surgir en organizaciones pequeñas que no cuentan con recursos para mantener sus sistemas seguros, por lo que se convierten en objetivos interesantes para cibercriminales ya que pueden ser parte de la cadena de suministro de organizaciones de mayor envergadura.

Entre las vulnerabilidades destacadas que aún perduran vigentes en infraestructura expuesta a internet, se encuentran:

• Dirty Cow (CVE-2016-5195)  (Linux) :Esta vulnerabilidad cuenta con un gran número de pruebas de concepto y exploits, por lo queno es necesario contar con grandes conocimientos para vulnerar la seguridad de aquellos dispositivos.
  • https://github.com/dirtycow/dirtycow.github.io/wiki/PoCs

• Dirty Pipe (CVE-2022-0847)  (Linux): Con esta vulnerabilidad es posible obtener privilegios root en un equipo linux, pudiendo apropiarse completamente del equipo víctima, y que al igual que la vulnerabilidad anterior, cuenta con gran número de Pruebas de concepto y exploits disponibles públicamente
  • https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1176/
  • https://github.com/topics/cve-2022-0847

En cuanto a los datos entregados por reportería vinculada a boletines de amenazas de el primer semestre 2022, las marcas con mayor cantidad de vulnerabilidades publicadas se encuentran dadas principalmente por Oracle y luego Microsoft, siendo este último caracterizado por los Patch Thuesday en donde se liberan vulnerabilidades de diferentes criticidades relativas a todos sus productos.

Cabe destacar que la dirección del esfuerzo en boletines de amenaza suele estar dado por que tan común es la presencia de estas tecnologías en redes y sistemas en las organizaciones, por lo que suelen ser un enfoque mayormente acotado.

Cantidad de CVE publicados por marca en boletines de amenaza Q1 y Q2 2022

En base a investigaciones realizadas por el equipo de ciberinteligencia de CCI publicada poco tiempo atrás relacionado a Servidores FTP con acceso anónimo expuestos en Chile  se identifica una drastica disminucion a lo largo de los años debido a que poco a poco se toma consciencia de que estas vulnerabilidades permiten entregar información confidencial de manera pública si no son adecuadamente manejadas

Cantidad de equipos en Chile que permiten acceso FTP con credenciales Anonymous

Con los datos obtenidos se puede evidenciar que la cantidad de servidores FTP expuestos a internet disminuye en la misma relación que aquellos con usuario anonymous habilitado para el acceso.

Cantidad de servidores FTP publicos en Chile

Entre los servicios FTP en Chile con mayor exposición se encuentra nuevamente Microsoft a la cabeza seguido de MikroTik y ProFTPD

1. Microsoft ftpd
2. MikroTik router ftpd
3. ProFTPD
4. Brother/HP printer ftpd
5. GNU Inetutils FTPd

De acuerdo con nuestra “Línea de tiempo con hitos más importantes del año” podemos mencionar los siguientes:

Dentro de las vulnerabilidades que presentaron mayores impacto se identifica a Follina debido al drástico cambio que ha generado en cuanto al acceso inicial, comenzando a dejar atrás el uso de macros maliciosas entregadas mediante documentos ofimáticos, brindando una renovación en los mecanismos de ataque

Tal como se ha visto una tendencia alcista en cuanto a cantidad de vulnerabilidades puestas en comparativa con años previos, es esperable que estas continúen en aumento dada la alta demanda de soluciones tecnológicas que se requieren en el mercado junto a las grandes capacidades de diferentes expertos para generar exploit o pruebas de concepto (POC) que permiten que hasta las manos menos expertas puedan vulnerar sistemas a través de herramientas automatizadas.

Por otra parte, pese a que han surgido vulnerabilidades críticas, durante el presente año aún no se ha evidenciado alguna que lleve consigo respuestas a incidentes como lo fue el conocido caso de Log4J y que deja como precedente que cada año puede existir al menos una vulnerabilidad de esta envergadura por lo que es necesario encontrarse preparado para este tipo de situaciones, y poder mitigar de la mejor manera posible la brecha de seguridad.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.