La Cybersecurity & Infrastructure Security Agency, la CISA, ha publicado un informe muy interesante, en el que podemos ver una radiografía clave para entender mucho de lo ocurrido el año pasado en ciberseguridad. Y es que, salvo en casos puntuales, tenemos conocimiento tanto de los ataques, especialmente si reciben algún nombre que ayuda a identificarlos, como de las vulnerabilidades en las que se basan pero, a medo y largo plazo, solo el nombre y los efectos perduran en la memoria, mientras que las vulnerabilidades y los productos afectados por las mismas tienden a olvidarse.
Así, este tipo de recordatorios nos permiten tener una imagen bastante completa, puesto que nos permiten identificar los CVE explotados por los ciberdelincuentes y, claro, también que productos y servicios son los que más atención generan en los mismos dándonos de este modo una valiosa pista sobre en qué casos debemos priorizar al máximo la instalación de actualizaciones y parches de seguridad o, de lo contrario, nos expondremos a más riesgos de los que nadie querría asumir.
MS Recomienda
Y en este caso, como puedes comprobar, más de la mitad de las 15 vulnerabilidades más explotadas en 2021, 8 de ellas, tienen como protagonista involuntario a Microsoft Exchange Server. En este punto hay que hacer, eso sí, algún matiz importante. El primero es que esto no significa que Exchange Server sea más inseguro que otras soluciones, ni mucho menos. Lo que quiere decir es que probablemente sea uno de los productos más sobreanalizados tanto por expertos de seguridad como por cibercriminales, con el fin de encontrar algún problema todavía no identificado.
Por otra parte, y este punto también es de lo más relevante, la explotación masiva de estos problemas de seguridad suele iniciarse cuando ya han sido difundidas públicamente, lo que de manera habitual, ocurre cuando ya se han publicado todas las actualizaciones necesarias para protegerse de dichas amenazas. Así, los sistemas expuestos son aquellos que se mantienen sin actualizar. Un ejemplo muy reciente y relacionado con esta tabla lo encontramos con ProxyShell, que todavía está siendo explotado pese a que pronto se cumplirá un año desde que se publicaron las soluciones para el mismo.
CVE | Vulnerabilidad | Proveedor / Producto | Tipo |
CVE-2021-44228 | Log4Shell | apache log4j | Ejecución remota de código (RCE) |
CVE-2021-40539 | Zoho ManageEngine AD SelfService Plus | Ejecución remota de código (RCE) | |
CVE-2021-34523 | ProxyShell | Microsoft Exchange Server | Elevación de privilegio |
CVE-2021-34473 | ProxyShell | Microsoft Exchange Server | Ejecución remota de código (RCE) |
CVE-2021-31207 | ProxyShell | Microsoft Exchange Server | Omisión de funciones de seguridad |
CVE-2021-27065 | ProxyLogon | Microsoft Exchange Server | Ejecución remota de código (RCE) |
CVE-2021-26858 | ProxyLogon | Microsoft Exchange Server | Ejecución remota de código (RCE) |
CVE-2021-26857 | ProxyLogon | Microsoft Exchange Server | Ejecución remota de código (RCE) |
CVE-2021-26855 | ProxyLogon | Microsoft Exchange Server | Ejecución remota de código (RCE) |
CVE-2021-26084 | Centro de datos y servidor de Atlassian Confluence | Ejecución de código arbitrario | |
CVE-2021-21972 | Cliente VMware vSphere | Ejecución remota de código (RCE) | |
CVE-2020-1472 | ZeroLogon | Protocolo remoto de inicio de sesión de Microsoft (MS-NRPC) | Elevación de privilegios |
CVE-2020-0688 | Microsoft Exchange Server | Ejecución remota de código (RCE) | |
CVE-2019-11510 | Pulse Secure Pulse Connect Secure | Lectura arbitraria de archivos | |
CVE-2018-13379 | Fortinet FortiOS y FortiProxy | Path traversal |
ProxyShell y ProxyLogon fueron dos grandes protagonistas, pero no los únicos. Como puedes ver, Log4Shell, ZeroLogon y las vulnerabilidades en Zoho ManageEngine AD SelfService Plus, Atlassian Confluence y VMware vSphere Client, entre otras,, también despertaron el interés de los ciberdelincuentes, poniendo en peligro las infraestructuras que las integran pero que no las han protegido frente a esas vulnerabilidades. Con respecto al tipo de amenaza, la ejecución remota de código es la vulnerabilidad preferida de los ciberdelincuentes, ocupando 9 de las 15 posiciones.
Fuente obtenida de: https://www.muyseguridad.net/2022/04/28/cisa-publica-las-vulnerabilidades-mas-explotadas-de-2021/