El Centro Nacional de Ciberseguridad (NCSC) y sus equivalentes en Estados Unidos y Australia han revelado las 30 vulnerabilidades más explotadas de forma rutinaria en diversos sistemas desde el inicio de 2020.
Entre las vulnerabilidades más explotadas durante el último año se encuentran algunas muy conocidas en los sistemas de Citrix, Microsoft y Fortinet que los hackers pueden seguir explotando porque las empresas aún no han aplicado los parches. Entre los fallos más explotados en lo que va del año figuran los encontrados en Microsoft Exchange Server en marzo, junto con las vulnerabilidades de Accellion y VMware.
Muchos de estos fallos han sido descubiertos en los últimos dos años, lo que difiere de la norma general de que los hackers exploten vulnerabilidades antiguas, que suelen tener entre cinco y diez años de antigüedad.
La razón se debe, en parte, a la generalización del trabajo a distancia en medio de la pandemia del COVID-19. El uso de tecnologías como la computación en la nube y las redes privadas virtuales (VPN) también ha supuesto una carga adicional para el sector de la seguridad a la hora de mantener y seguir el ritmo de los parches de software rutinarios.
“El aviso publicado hoy pone en manos de todas las organizaciones la posibilidad de corregir las vulnerabilidades más comunes, como los dispositivos de pasarela VPN sin parchear. Trabajando con nuestros socios internacionales, seguiremos concienciando sobre las amenazas que suponen aquellos que buscan causar daño”.
Transcribimos las vulnerabilidades más relevantes:
Citrix – CVE-2019-19781 – varios productos: Varias organizaciones fueron atacadas a principios de enero a través de una falla en Application Delivery Controller (ADC), Citrix Gateway y Citrix SD-WAN que permitió a los hackers realizar la ejecución de código arbitrario en una red.
Ivanti – CVE 2019-11510 – Pulse Connect Secure – Los hackers explotaron la popular plataforma SSL VPN utilizada por grandes organizaciones y gobiernos para obtener acceso a redes vulnerables. El fallo se utilizó incluso en los ataques del ransomware Sodinokibi.
F5 – CVE 2020-5902 – BIG-IP: Los atacantes no autentificados con acceso a la red a la utilidad de configuración de la familia de productos de hardware y software de red BIG-IP podrían aprovechar este fallo para realizar varios ataques, incluyendo la ejecución de comandos discrecionales del sistema.
MobileIron – CVE 2020-15505 – varios productos: MobileIron publicó parches en junio de 2020 para solucionar agujeros en sus sistemas de gestión de dispositivos móviles (MDM) que incluían este fallo de ejecución remota de código (RCE). Estaba siendo explotado por los hackers apoyados por Estados para comprometer las redes de organizaciones del Reino Unido.
Microsoft – CVE-2017-11882 – Microsoft Office: Descubierto en 2017, se trata de un RCEbug que existe cuando el software no maneja correctamente los objetos en memoria. Si un usuario está conectado con derechos de administrador, un atacante podría tomar el control del sistema afectado.
Atlassian – CVE-2019-11580 – Atlassian Crowd: Atlassian parcheó un fallo RCE en su plataforma crowd en mayo de 2020. Se trata de una aplicación de gestión de usuarios para el control de acceso a Active Directory (AD), Lightweight Directory Access Protocol (LDAP), OpenLDAP y Microsoft Azure AD.
Drupal – CVE-2018-7600 – Drupal 7 y 8: Las iteraciones más antiguas de la versión 7 y 8 de la plataforma del sistema de gestión de contenidos (CMS) tenían incorporado un fallo RCE que permitía a los atacantes ejecutar código arbitrario debido a un problema que afectaba a múltiples subsistemas.
Telerik – CVE 2019-18935 – Telerik UI para ASP.NET AJAX: Ciberdelincuentes han estado explotando un defecto RCE en esta suite de componentes de interfaz de usuario ampliamente utilizada para aplicaciones web desde diciembre de 2019. La vulnerabilidad deserializa de manera insegura los objetos JSON de una manera que resulta en RCE del host subyacente del software.
Microsoft – CVE-2019-0604 – Microsoft SharePoint: Existe una vulnerabilidad RCE en SharePoint cuando el software no comprueba el marcado de origen de un paquete de aplicaciones. Un atacante puede explotar el defecto para ejecutar código arbitrario dentro del grupo de aplicaciones de SharePoint y la cuenta de la granja de servidores de SharePoint.
Microsoft – CVE-2020-0787 – Servicio de transferencia inteligente en segundo plano de Windows (BITS): El componente BITS de Windows maneja incorrectamente los enlaces simbólicos, por lo que un atacante puede sobrescribir un archivo de destino y elevar sus privilegios. Los hackers han explotado esta situación entrando en un sistema objetivo y ejecutando una aplicación especialmente diseñada para aprovechar el fallo y tomar el control del sistema objetivo.
Microsoft – CVE-2020-1472 – Protocolo remoto Netlogon: Esta vulnerabilidad de elevación de privilegios existe cuando los hackers establecen una conexión de canal seguro Netlogon vulnerable a un controlador de dominio. Los atacantes que aprovechan el fallo pueden ejecutar una aplicación especialmente diseñada en un dispositivo de la red.
Microsoft – CVE-2020-0688 – Exchange Server: Existe una vulnerabilidad RCE en Exchange Server cuando el servidor no crea correctamente claves criptográficas únicas en el momento de la instalación. En concreto, se encuentra en el componente Exchange Control Panel (ECP).
Atlassian – CVE-2019-3396 – Confluence Widget Connector: Esta vulnerabilidad crítica de inyección de plantillas en el lado del servidor, encontrada en el Confluence Server y el Data Center Widget Connector, puede llevar a atravesar la ruta y RCE.
Microsoft – CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE2021-27065 – Exchange Server: Los hackers apoyados por China explotaron cuatro zero-days previamente desconocidos para lanzar una serie de ataques devastadores contra empresas. Aprovecharon estos defectos como parte de un ataque en cadena, en el que el ataque inicial exigía la capacidad de realizar una conexión no fiable al puerto 443 del servidor Exchange.
Ivanti – CVE-2021-22893, CVE-2021-22894, CVE-2021-22899 y CVE-2021-22900 – Pulse Secure: Al menos dos grandes grupos de hackers desplegaron una docena de familias de malware para explotar los fallos de la suite de VPN de Pulse Connect Secure para espiar al sector de la defensa estadounidense. El NCSC publicó en mayo de 2021 una guía para que las empresas actualizaran sus sistemas Pulse Connect Secure a la versión 9.1R.11.4.
Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104 – File Transfer Appliance (FTA): En febrero de este año, Accellion parcheó cuatro fallos en su herramienta FTA después de detectar que un número menor de clientes fue atacado a principios de año. Sin embargo, las agencias de ciberseguridad de todo el mundo advirtieron posteriormente que los hackers habían seguido explotando las vulnerabilidades para atacar a varios niveles de la administración pública en los Estados Unidos.
VMware – CVE-2021-21985 – vCenter Server: VMware advirtió a sus clientes en mayo de este año que las bandas de ransomware estaban preparadas para explotar las vulnerabilidades del cliente vSphere para lanzar ataques. El fallo implica una falta de validación de entrada en el plugin Virtual SAN Health Check, que está habilitado por defecto en el sistema.
Fortinet – CVE-2018-13379, CVE-2020-12812 y CVE-2019-5591 – FortiOS: Las agencias de ciberseguridad estadounidenses advirtieron en abril que los hackers apoyados por Estados estaban explotando estos fallos para acceder a los sistemas gubernamentales. La primera vulnerabilidad permitía a los atacantes descargar archivos del sistema, y la segunda llevaba a los usuarios a iniciar sesión con éxito sin que se les pidiera un segundo factor de autenticación, mientras que la tercera permitía a los hackers de la misma subred de FortiOS interceptar información sensible.