Los funcionarios gubernamentales de EE. UU., Reino Unido y Australia instan a las organizaciones del sector público y privado a proteger sus redes garantizando que los firewalls, VPN y otros dispositivos del perímetro de la red estén parcheados contra las vulnerabilidades más generalizadas.
en un asesoramiento conjunto publicado el miércoles, el FBI de EE. UU. y la CISA (Agencia de Seguridad Cibernética e Infraestructura), el Centro Australiano de Seguridad Cibernética y el Centro Nacional de Seguridad Cibernética del Reino Unido enumeraron las 30 vulnerabilidades más explotadas. Las vulnerabilidades residen en una gran cantidad de dispositivos o software comercializados por empresas como Citrix, Pulse Secure, Microsoft y Fortinet.
“Los ciber actores continúan explotando vulnerabilidades de software conocidas públicamente, ya menudo anticuadas, contra un amplio conjunto de objetivos, incluidas las organizaciones del sector público y privado en todo el mundo”, afirmó el aviso. “Sin embargo, las entidades de todo el mundo pueden mitigar las vulnerabilidades enumeradas en este informe aplicando los parches disponibles a sus sistemas e implementando un sistema de administración de parches centralizado”.
¿Qué, me parche?
Cuatro de las vulnerabilidades más específicas el año pasado residieron en VPN, servicios basados en la nube y otros dispositivos que permiten a las personas acceder de forma remota a las redes de los empleadores. A pesar de la explosión en la cantidad de empleados que trabajan desde casa impulsada por la pandemia de COVID-19, muchos dispositivos de puerta de enlace VPN permanecieron sin parches durante 2020.
Las fechas de descubrimiento de las cuatro vulnerabilidades principales oscilaron entre 2018 y 2020, una indicación de lo común que es para muchas organizaciones que usan los dispositivos afectados retener la aplicación de parches de seguridad. Las fallas de seguridad incluyen CVE-2019-19781, un error de ejecución de código remoto en el controlador de entrega de aplicaciones de Citrix (que los clientes usan para realizar el equilibrio de carga del tráfico de aplicaciones entrante); CVE 2019-11510, que permite a los atacantes leer de forma remota archivos confidenciales almacenados por Pulse Secure Pulse Connect Secure VPN; CVE 2018-13379, una debilidad de recorrido de ruta en VPN fabricadas por Fortinet; y CVE 2020-5902, una vulnerabilidad de ejecución de código en el controlador de entrega avanzado BIG-IP creado por F5.
Los 12 defectos principales son:
| Vendedor | CVE | Escribe |
| Citrix | CVE-2019-19781 | ejecución de código arbitrario |
| Legumbres | CVE 2019-11510 | lectura de archivos arbitraria |
| Fortinet | CVE 2018-13379 | recorrido de ruta |
| F5- IP grande | CVE 2020-5902 | ejecución remota de código (RCE) |
| Hierro móvil | CVE 2020-15505 | RCE |
| Microsoft | CVE-2017-11882 | RCE |
| Atlassian | CVE-2019-11580 | RCE |
| Drupal | CVE-2018-7600 | RCE |
| Telerik | CVE 2019-18935 | RCE |
| Microsoft | CVE-2019-0604 | RCE |
| Microsoft | CVE-2020-0787 | elevación de privilegio |
| Netlogon | CVE-2020-1472 | elevación de privilegio |
Rompiendo la puerta
Las vulnerabilidades, todas las cuales han recibido parches de los proveedores, han proporcionado el vector de apertura de un número incalculable de intrusiones graves. Por ejemplo, según un aviso emitido por el gobierno de EE. UU. En abril, los piratas informáticos que trabajaban para el gobierno ruso explotaban habitualmente CVE-2018-13379, CVE-2019-11510 y CVE-2019-19781.
Ese mismo mes, surgió la noticia de que un grupo diferente de piratas informáticos también estaba explotando CVE-2018-13379. En un caso, los piratas informáticos permitieron a los operadores de ransomware hacerse con el control de dos instalaciones de producción pertenecientes a un fabricante europeo.
El aviso del miércoles continuó diciendo:
CISA, ACSC, NCSC y FBI evalúan que las organizaciones públicas y privadas de todo el mundo siguen siendo vulnerables al compromiso de la explotación de estos CVE. Es muy probable que los ciberatacadores malintencionados continúen utilizando vulnerabilidades conocidas más antiguas, como CVE-2017-11882 que afectan a Microsoft Office, siempre que sigan siendo efectivas y los sistemas no estén actualizados. El uso de vulnerabilidades conocidas por parte de los adversarios complica la atribución, reduce los costos y minimiza el riesgo porque no están invirtiendo en desarrollar un exploit de día cero para su uso exclusivo, que corren el riesgo de perder si se conoce.
Los funcionarios también enumeraron 13 vulnerabilidades descubiertas este año que también están siendo explotadas en grandes cantidades. Las vulnerabilidades son:
- Microsoft Exchange: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE2021-27065
- Pulse Secure: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899 y CVE-2021-22900
- Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104
- VMware: CVE-2021-21985
El aviso proporciona detalles técnicos para cada vulnerabilidad, pautas de mitigación e indicadores de compromiso para ayudar a las organizaciones a determinar si son vulnerables o si han sido pirateadas. El aviso también proporciona una guía para bloquear los sistemas.