Hackers buscan vulnerabilidades 15 minutos posteriores a la divulgación

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los administradores de sistemas tienen aún menos tiempo para parchear las vulnerabilidades de seguridad reveladas de lo que se pensaba anteriormente, ya que un nuevo informe muestra que los actores de amenazas buscan puntos finales vulnerables dentro de los 15 minutos posteriores a la divulgación pública de un nuevo CVE.

Según el Informe de respuesta a incidentes de la Unidad 42 de Palo Alto de 2022, los piratas informáticos monitorean constantemente los tableros de anuncios de los proveedores de software en busca de nuevos anuncios de vulnerabilidades que puedan aprovechar para el acceso inicial a una red corporativa o para realizar la ejecución remota de código.

Sin embargo, la velocidad a la que los actores de amenazas comienzan a escanear en busca de vulnerabilidades pone a los administradores de sistemas en la mira mientras corren para corregir los errores antes de que sean explotados.

"El Informe de amenazas de administración de superficie de ataque de 2022 encontró que los atacantes generalmente comienzan a buscar vulnerabilidades dentro de los 15 minutos posteriores al anuncio de un CVE", se lee en una publicación de blog complementaria.

Dado que el escaneo no es particularmente exigente, incluso los atacantes poco calificados pueden escanear Internet en busca de puntos finales vulnerables y vender sus hallazgos en los mercados de la dark web donde los piratas informáticos más capaces saben cómo explotarlos.

Luego, en cuestión de horas, se observan los primeros intentos de explotación activos, que a menudo golpean sistemas que nunca tuvieron la oportunidad de parchear.

Unit 42 presenta CVE-2022-1388 como ejemplo, una vulnerabilidad crítica de ejecución de comandos remotos no autenticados que afecta a los productos F5 BIG-IP.

La falla se reveló el 4 de mayo de 2022 y, según la Unidad 42, cuando habían pasado diez horas desde el anuncio del CVE, habían registrado 2.552 intentos de escaneo y explotación.

Esta es una carrera entre los defensores y los actores maliciosos, y los márgenes de retrasos en ambos lados se reducen cada año que pasa.

Vulnerabilidades más explotadas en 2022

Según los datos recopilados por Palo Alto, las vulnerabilidades más explotadas para el acceso a la red en el primer semestre de 2022 son la cadena de explotación "ProxyShell", que representa el 55 % del total de incidentes de explotación registrados. ProxyShell es un ataque que se explota al encadenar tres vulnerabilidades rastreadas como CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207.

Log4Shell sigue en segundo lugar con 14 %, varios CVE de SonicWall representaron 7 %, ProxyLogon tuvo 5 %, mientras que RCE en Zoho ManageEngine ADSelfService Plus fue explotado en 3 % de los casos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como se hace evidente a partir de estas estadísticas, la parte del león en el volumen de explotación es capturada por fallas semi-antiguas y no por las más recientes.

Esto sucede por varias razones, incluido el tamaño de la superficie de ataque, la complejidad de la explotación y el impacto práctico.

Los sistemas más valiosos y mejor protegidos cuyos administradores aplican rápidamente las actualizaciones de seguridad son objeto de ataques de día cero o ataques que se desarrollan inmediatamente después de la revelación de las fallas.

También vale la pena señalar que, según la Unidad 42, la explotación de las vulnerabilidades del software para las infracciones iniciales de la red representa aproximadamente un tercio del método utilizado.

En el 37% de los casos, el phishing fue el medio preferible para lograr el acceso inicial. La fuerza bruta o el uso de credenciales comprometidas es la forma en que los piratas informáticos penetraron en las redes en el 15% de los casos.

Cómo lograron los atacantes el acceso inicial en el primer semestre de 2022
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Finalmente, el uso de trucos de ingeniería social contra empleados privilegiados o el soborno de un infiltrado deshonesto para ayudar en el acceso a la red corresponde al 10% de los incidentes.

Una carrera contra el reloj

Dado que los administradores de sistemas, los administradores de redes y los profesionales de la seguridad ya están sometidos a un estrés significativo al tratar de mantenerse al día con las amenazas de seguridad y los problemas del sistema operativo más recientes, la velocidad a la que los atacantes apuntan a sus dispositivos solo agrega presión adicional.

Por lo tanto, es extremadamente importante mantener los dispositivos fuera de Internet si es posible, y solo exponerlos a través de VPN u otras puertas de enlace de seguridad. Al restringir el acceso a los servidores, los administradores no solo reducen el riesgo de vulnerabilidades, sino que brindan tiempo adicional para aplicar actualizaciones de seguridad antes de que las vulnerabilidades puedan atacarse internamente.

Desafortunadamente, algunos servicios deben exponerse públicamente, lo que requiere que los administradores refuercen la seguridad tanto como sea posible a través de listas de acceso, exponiendo solo los puertos y servicios necesarios y aplicando actualizaciones lo más rápido posible.

Si bien la aplicación rápida de una actualización crítica puede provocar un tiempo de inactividad, esto es mucho mejor que las ramificaciones de un ciberataque en toda regla.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta