La Agencia de Seguridad Cibernética e Infraestructura de los Estados Unidos (CISA) junto al FBI, el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y el Centro Australiano de Seguridad Cibernética (ACSC) publicaron un reporte conjunto que detalla cuáles fueron las 30 vulnerabilidades que los actores maliciosos explotaron con mayor frecuencia en ataques realizados entre 2020 y 2021. Cuatro de las vulnerabilidades más apuntadas en 2020 estaban relacionadas con tecnologías para el trabajo remoto. Recordemos que a raíz de la pandemia muchas organizaciones se vieron obligadas a implementar el teletrabajo para poder continuar operando y a la vez cumplir con las medidas sanitarias de aislamiento social que se decretaron en gran parte del mundo, lo que representó un desafío para muchas organizaciones que tuvieron que acelerar los procesos de transformación digital y lidiar con un escenario en el cual los cibercriminales intentaron aprovechar el auge del teletrabajo para lanzar sus ataques.
En este sentido, "el cambio repentino y el mayor uso de las herramientas para el teletrabajo, como son las redes privadas virtuales (VPN) y los entornos basados en la nube, probablemente representó una carga adicional para los responsables de seguridad que luchan por mantener y seguir el ritmo de las actualizaciones de software de rutina", menciona el comunicado.
Según datos del gobierno de Estados Unidos, la mayoría de las vulnerabilidades apuntadas por los cibercriminales en 2020 fueron divulgadas durante los últimos dos años. La siguiente es una lista con las vulnerabilidades que fueron explotadas con mayor regularidad en 2020.
Proveedor | CVE | Tipo de vulnerabilidad |
Citrix | CVE-2019-19781 | ejecución arbitraria de código |
Pulse | CVE 2019-11510 | lectura arbitraria de archivos |
Fortinet | CVE 2018-13379 | path traversal |
F5- Big IP | CVE 2020-5902 | ejecución remota de código (RCE) |
MobileIron | CVE 2020-15505 | RCE |
Microsoft | CVE-2017-11882 | RCE |
Atlassian | CVE-2019-11580 | RCE |
Drupal | CVE-2018-7600 | RCE |
Telerik | CVE 2019-18935 | RCE |
Microsoft | CVE-2019-0604 | RCE |
Microsoft | CVE-2020-0787 | elevación de privilegios |
Netlogon | CVE-2020-1472 | elevación de privilegios |
Tabla: Vulnerabilidades (CVE) explotadas con mayor frecuencia durante 2020
La CVE-2019-19781 es una vulnerabilidad en la aplicación Delivery Controller de Citrix clasificada como crítica con un puntaje de 9.8 sobre 10 en la escala de severidad CVSS. La explotación exitosa de este fallo por un atacante podría tomar el control de un sistema. La vulnerabilidad atrajo el interés de los cibercriminales por que es fácilmente explotable y por el hecho de que los servidores Citrix son utilizados de manera extensiva en todo el mundo.
Según el informe conjunto elaborado por las organizaciones de ciberseguridad, en lo que va de 2021 las vulnerabilidades más explotadas están presentes en productos de Microsoft, Pulse, Accellion, VMware y Fortinet. Según el FBI, muchas organizaciones siguen estando expuestas a la explotación de estos fallos en sus sistemas. En el caso de Microsoft se trata de la cadena de vulnerabilidades de ejecución remota de código (CVE-2021-26855, CVE- 2021-26857, CVE-2021-26858 y CVE-2021-27065) en los servidores de Exchange. Recordemos que la explotación de estas CVE comenzó a principios de enero y según revelaron investigadores de ESET fueron aprovechadas por al menos 10 grupos de APT en más de 115 países.
La lista completa de vulnerabilidades junto a recomendaciones para mitigarlas puede leerse en el comunicado de la página de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
Por último, las cuatro agencias internacionales recuerdan a las organizaciones la importancia de instalar las actualizaciones de seguridad lo antes posible, ya que es la forma más sencilla de mitigar las chances de que los sistemas se vean comprometidos.
Lectura recomendada: ¿Por qué el software es vulnerable? La importancia de los parches