[email protected]
Tu cesta está vacía
Notificaciones vacías
Iniciar sesión Registrarse

Principales vulnerabilidades explotadas segun CISA

Creado por Santiago Carrillo En Amenazas y Vulnerabilidades 20/02/2025

Este aviso realizado por la CISA y demás organizaciones, resalta el conjunto de vulnerabilidades fueron mas explotadas por actores maliciosos en 2023 y otros años. Este aviso tiene como propósito el de dar recomendaciones a las organizaciones y a personas acerca de como evitar que estas vulnerabilidades sean explotadas.

La lista de estas vulnerabilidades mas explotadas activamente, se hizo en conjunto con diversas agencias de ciberseguridad alrededor del mundo, por ejemplo en Estados Unidos intervinieron: la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad), el FBI, la agencia de seguridad nacional (NSA). También tuvieron aportes significativos agencias de Cánada, Nueva Zelanda, Australia y Reino Unido.

Algunas generalidades de este informe:

Disponibilidad de exploits: 14 de 15 CVEs tienen más de 8 exploits a nivel de POC; 13 tienen exploits armados,  5 se han usado en explotación pública.

Actividad de actores de amenazas: 60 actores de amenazas vinculados en 13 CVEs; Silent Chollima de Corea del Norte el de mayor actividad. Log4j (CVE-2021-44228) sigue siendo la más explotado.

Los actores maliciosos desde 2022 han generado un gran aumento de la explotaciones de estas vulnerabilidades, lo que hizo que en 2023 estas organizaciones pongan como alta la prioridad para la mitigación de esa misma situación. Las agencias autoras de este aviso recomiendan a proveedores, diseñadores y usuarios a implementar las recomendaciones que las organizaciones piden que implementen, para que haya menos compromiso de por parte de actores cibernéticos maliciosos. 

14 de 15 CVE tienen 8 o más exploits de prueba de concepto (POC) disponibles y al menos un POC era accesible antes o el mismo día en que se divulgara públicamente la primera evidencia de explotación.


Vulnerabilidades más explotadas.

  • CVE-2023-23397 - Vulnerabilidad en Microsoft Outlook: 
  • Esta vulnerabilidad le permite al atacante ejecutar un código de forma remota cuando el usuario abré un correo especialmente diseñado. esta vulnerabilidad permite tomar el control de un sistema afectado.

  • CVE-2023-3519 - Vulnerabilidad de ejecución remota de código Cisco: 
  • Esta vulnerabilidad afecta a dispositivios de red y software Cisco, ejecutando códigos maliciosos de forma remota, comprometiendo críticamente la infraestructura de la red.

  • CVE-2022-47966 - Vulnerabilidad en Apache HTTP Server: 
  • En esta vulnerabilidad se ejecuta un código remotamente, ha sido explotada principalmente en servidores web que usan verisones específicas de Apache.

  • CVE-2021-44228 (Log4Shell) - Vulnerabilidad en Log4j: 
  • Esta ha sido una de las vulnerabilidades mas explotadas en 2023 aunque se identificó a finales de 2021. Afecta principalmente a la biblioteca de logging Log4j, permitiendo la ejecución de código y comprometer este servidor.

  • CVE-2023-23390 - Vulnerabilidad en Microsoft Windows: 
  • Permite ejecutar un código con privilegios elevados en sistemas afectaos por un desbordamiento de búfer.

  • CVE-2023-20269 Vulnerabilidad en FortiGate VPN: 
  • Permite la ejecución de un código y es de las más explotadas en dispositivos de acceso remoto. 


Se identifican 60 actores de amenazas nombrados asociados con al menos uno de los CVEa de la lista. Entre los actores de amenazas, se destaca Silent Chollima de Corea del Norte, que apunta a 9 de los 15 CVEs del informe. No es sorprendente que Log4j CVE (CVE-2021-44228) esté asociado con la mayor cantidad de actores de amenazas en general, con 31 actores de amenazas nombrados vinculados a su explotación.

Un rápido desglose de la actividad de los actores de amenazas por país muestra que los sospechosos habituales incluyen: China, Rusia, Irán y Corea del Norte, con un único actor de amenazas vinculado a Turquía. Así es como se acumula el número de actores de amenazas por país:


Para ver el impacto de estas vulnerabilidades, se buscaron hosts potencialmente vulnerables durante un período de 3 días en VulnCheck IP Intelligence, para ver la variedad de objetivos potenciales disponibles para los actores de amenazas. 



Recomendaciones:

Las recomendaciones que se les hace a los proveedores, diseñadores y desarrolladores son las siguientes:

  • Implementar tácticas seguras y predeterminadas para reducir la prevalencia de vulnerabilidades en el software. Pueden seguir -- aqui buenas practicas de desarrollo seguro  -- (SSDF) SP 800-218 e implementarlas en  cada étapa del ciclo de vida de desarrollo de software (SDLC).
  • Establecer un programa coordinado que permita determinar las causas fundamentales de las vulnerabilidades descubiertas. Realizar analisis de CVEs y -- aqui vulnerabilidades explotadas conocidas --
  • Priorizar las configuraciones seguras por defecto, como por ejemplo cambiar las contraseñas predeterminadas y no requerir cambios de configuración adicionales para mejorar la seguridad del producto.


Las recomendaciones que se les hace a las organizaciones de usuarios finales son las siguientes:

  • Aplicar parches de seguridad en el software usado.
  • Usar un sistema centralizado de de gestión de parches.
  • Usar herramientas de seguridad como detección y respuesta de puntos finales (EDR), firewalls para aplicaciones web y protocolos de red.
Otras recomendaciones que hacen estas organizaciones son: 
  • Capacitar al personal TI acerca de de este problema, y entrenarlos con tácticas adecuadas de ciberseguridad para evitar estas vulnerabilidades.
  • Los proveedores de software deben divulgar a las organizaciones de manera responsable acerca de estas vulnerabilidades para que estas puedan prepararse antes estas amenazas.

Las agencias que realizaron este aviso desarrollaron el siguiente archivo PDF para mostrar sus misiones y objetivos de ciberseguridad, también se incluyen sus responsabilidades de desarrollar y emitir mitigaciones de ciberseguridad. 


-- Aqui puedes descargar el reporte completo --


En conlusión este aviso tiene como propósito el de mitigar la explotación de vulnerabilidades y aplicar parches de seguridad, como también el de aplicar prácticas y técnicas como por supuesto tambíen medidas de defensa adecuadas, igualmente proponen capacitar a las personas continuamente para reducir los riesgos asociados con estos fallos de seguridad. 

Este reporte destaca las vulnerabilidades que son objetivo principal de los actores de amenazas. El informe proporciona información valiosa sobre las tecnologías que las organizaciones deben evaluar su nivel de exposición, mejorar la visibilidad de los riesgos potenciales, aprovechar la inteligencia sólida sobre amenazas, mantener prácticas sólidas de gestión de parches e implementar controles de mitigación, como minimizar la exposición de estos dispositivos a Internet siempre que sea posible. 


Referencias: https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-317a

https://vulncheck.com/blog/cisa-top-exploited-2024

Autor: Dilan Carrillo

Comentarios (0)

Santiago Carrillo

Author
Publicaciones de autor

Categorías

Ciberseguridad Consejos y Buenas Practicas Amenazas y Vulnerabilidades Noticias y Tendencias Formación y Capacitación Tecnologías y Herramientas

Recent posts

Prueba cuanto tiempo tarda PassGAN inteligencia artificial en adivinar tu contraseña - la mayoria menos de 6 minutos

Prueba cuanto tiempo tarda PassGAN ...

 3/05/2023
Curso gratuito de Cisco como Analista Junior de Ciberseguridad

Curso gratuito de Cisco como Analista ...

 7/08/2023
Nueva version 2.0 del NIST cybersecurity framework (CSF)

Nueva version 2.0 del NIST cybersecurity ...

 10/08/2023
Vulnerabilidad que afecta vehiculos Toyota RAV4 algunos robados sin llaves

Vulnerabilidad que afecta vehiculos ...

 10/04/2023
Grupo Nutresa esta siendo victima de un cibertaque de Ransomware

Grupo Nutresa esta siendo victima de un ...

 20/04/2023
Ver Todo Publicaciones