Durante el primer semestre de 2022 la cantidad de vulnerabilidades se ha mantenido con tendencias similares a años anteriores, que pese a observar CVE críticos, ninguno han logrado generar el nivel de impacto que marcó el ahora icónico Log4J durante fines de 2021 y que llevó a equipos de respuesta a incidentes a actuar rápidamente de forma global.
Basado en el registro histórico que mantiene Nist y abarcando un periodo del primer semestre del 2022 se identifica que existe un total de 2309 CVE’s más en comparación al mismo periodo de 2021, evidenciando un claro aumento en las vulnerabilidades disponibles, as cuales abarcan múltiples marcas y productos, siendo los productos Microsoft los líderes en cuanto a vulnerabilidades, lo que también se explica por su amplio uso y variedad de softwares generados por la marca.
Esta brecha en vulnerabilidades se debe principalmente al constante aumento de la actividad de las personas online, generando que cada vez existan más y mejores investigadores capaces de encontrar incluso vulnerabilidades con mayor velocidad que años anteriores, asi como la guerra entre Rusia y Ucrania que develó ayudó a promover en gran medida los ciberataques.
Comparativa de total de vulnerabilidades Q1 y Q2 de años 2020, 2021 y 2022
Mientras que si se genera un desglose de esos por mes, se aprecian las diferencias de mejor manera pudiendo identificar que durante el mes de febrero y mayo existió la mayor diferencia en cantidad de vulnerabilidades en comparación años anteriores
Desglose con total de CVE por mes para Q1 y Q2 de años 2020, 2021 y 2022
Dentro de esta misma línea de análisis, desde CISA US se publican constantemente cuales son los productos que cuentan con una mayor explotabilidad en el panorama global, destacando que del total de registros del Top 10 de las marcas con mayor incidencia se encabeza por Microsoft:
CVE explotados activamente publicados por CISA US
Microsoft en el top de vulnerabilidades
Tal como se observa desde diferentes fuentes, Microsoft suele estar a la cabeza en cuanto a cantidad de vulnerabilidades y pese a que resulta llamativo este comportamiento, se justifica debido a que es propietario de aproximadamente 710 soluciones, productos y/o servicios, los cuales si bien de forma independiente no abarcaría tal volumen de vulnerabilidades, agrupados por la marca resultan bastante significativos.
Por otra parte, el mantener un ciclo de calendario de soluciones como lo es Patch Thuesday, responde a procesos de mejora continua que respaldan a sus tecnologías y representan un activo trabajo en busca de soluciones.
Del total de vulnerabilidades reportadas mediante Patch Thuesday se identifica un total de 549 vulnerabilidades de las cuales sólo 37 se han identificado como críticas, representando solo un 6,7% del total y que si bien pueden terminar en vulneraciones graves a sistemas, se debe comprender que corresponden solo a un número limitado de sus productos, de los cuales la mayoría corresponde a diferentes versiones de Windows
Cabe destacar que del total de vulnerabilidades críticas, solo CVE-2022-24760 ha sido clasificada con criticidad 10/10
Dentro de la misma línea de CVE añadidos al listado de vulnerabilidades más explotadas ofrecida por CISA se identifica mediante diferentes fuentes de información que las vulnerabilidades más explotadas en el primer semestre de 2022 corresponden a aquellas que no han sido liberadas recientemente y que incluso cuentan hasta con 12 años de diferencia entre su descubrimiento y su adición a este listado, evidenciando claras falencias en mecanismos de seguridad, parches y actualizaciones dentro de las organizaciones.
Si bien las organizaciones más proactivas suelen generar procesos de parchado dentro de la primera semana de descubrimiento, existen otras que funcionan bajo el lema “si funciona no se toca” que incluso pueden ser directrices desde la alta dirección, revelando graves falencias en sus políticas.
Este comportamiento suele surgir en organizaciones pequeñas que no cuentan con recursos para mantener sus sistemas seguros, por lo que se convierten en objetivos interesantes para cibercriminales ya que pueden ser parte de la cadena de suministro de organizaciones de mayor envergadura.
Entre las vulnerabilidades destacadas que aún perduran vigentes en infraestructura expuesta a internet, se encuentran:
En cuanto a los datos entregados por reportería vinculada a boletines de amenazas de el primer semestre 2022, las marcas con mayor cantidad de vulnerabilidades publicadas se encuentran dadas principalmente por Oracle y luego Microsoft, siendo este último caracterizado por los Patch Thuesday en donde se liberan vulnerabilidades de diferentes criticidades relativas a todos sus productos.
Cabe destacar que la dirección del esfuerzo en boletines de amenaza suele estar dado por que tan común es la presencia de estas tecnologías en redes y sistemas en las organizaciones, por lo que suelen ser un enfoque mayormente acotado.
Cantidad de CVE publicados por marca en boletines de amenaza Q1 y Q2 2022
En base a investigaciones realizadas por el equipo de ciberinteligencia de CCI publicada poco tiempo atrás relacionado a Servidores FTP con acceso anónimo expuestos en Chile se identifica una drastica disminucion a lo largo de los años debido a que poco a poco se toma consciencia de que estas vulnerabilidades permiten entregar información confidencial de manera pública si no son adecuadamente manejadas
Cantidad de equipos en Chile que permiten acceso FTP con credenciales Anonymous
Con los datos obtenidos se puede evidenciar que la cantidad de servidores FTP expuestos a internet disminuye en la misma relación que aquellos con usuario anonymous habilitado para el acceso.
Cantidad de servidores FTP publicos en Chile
Entre los servicios FTP en Chile con mayor exposición se encuentra nuevamente Microsoft a la cabeza seguido de MikroTik y ProFTPD
De acuerdo con nuestra “Línea de tiempo con hitos más importantes del año” podemos mencionar los siguientes:
Dentro de las vulnerabilidades que presentaron mayores impacto se identifica a Follina debido al drástico cambio que ha generado en cuanto al acceso inicial, comenzando a dejar atrás el uso de macros maliciosas entregadas mediante documentos ofimáticos, brindando una renovación en los mecanismos de ataque
Tal como se ha visto una tendencia alcista en cuanto a cantidad de vulnerabilidades puestas en comparativa con años previos, es esperable que estas continúen en aumento dada la alta demanda de soluciones tecnológicas que se requieren en el mercado junto a las grandes capacidades de diferentes expertos para generar exploit o pruebas de concepto (POC) que permiten que hasta las manos menos expertas puedan vulnerar sistemas a través de herramientas automatizadas.
Por otra parte, pese a que han surgido vulnerabilidades críticas, durante el presente año aún no se ha evidenciado alguna que lleve consigo respuestas a incidentes como lo fue el conocido caso de Log4J y que deja como precedente que cada año puede existir al menos una vulnerabilidad de esta envergadura por lo que es necesario encontrarse preparado para este tipo de situaciones, y poder mitigar de la mejor manera posible la brecha de seguridad.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Renuncia de Responsabilidad:
Utilice esta información bajo su propia responsabilidad! El Centro de Ciberinteligencia de Entel no se hace responsable por el uso indebido o pruebas de conceptos no controladas por parte del lector.