Hackers explotan regularmente las vulnerabilidades antes de hacerlas públicas

Iniciado por AXCESS, Agosto 02, 2025, 08:42:11 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 02, 2025, 08:42:11 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Muchos hackers son oportunistas y a menudo intentan explotar vulnerabilidades de seguridad para lanzar un ataque días antes de que se divulgue una vulnerabilidad.

Según un nuevo informe publicado el 31 de julio por GreyNoise, la actividad de los atacantes precede al momento en que una nueva vulnerabilidad en dispositivos edge se divulga públicamente y se le asigna un número de vulnerabilidades y exposiciones comunes (CVE) en el 80 % de los casos.

Estos picos de actividad previos a la divulgación incluyen escaneo, ataques de fuerza bruta e intentos de explotación, aunque los intentos de exploits de día cero representan la mayor parte de la actividad observada. Esta actividad puede preceder a la divulgación de la CVE hasta seis semanas, según los investigadores de GreyNoise.

El análisis se realizó en CVE en tecnologías edge con una puntuación de 6 o más en el sistema de puntuación de vulnerabilidades comunes (CVSS).

Este patrón fue particularmente frecuente en las vulnerabilidades que afectaron a ocho proveedores de dispositivos edge: Cisco, Citrix, Fortinet, Ivanti, Juniper, MikroTik, Palo Alto Networks y SonicWall.

En total, el investigador de GreyNoise encontró 216 casos de un pico previo a la divulgación de un CVE para estos ocho proveedores.

Utilizar los picos de actividad de los atacantes como alertas tempranas para futuras intrusiones

Según el informe, los ciberdefensores deberían considerar estos picos como alertas tempranas y, por lo tanto, aumentar su monitoreo para prepararse mejor ante futuros CVE.

"La agrupación de nuevos CVE en un plazo de seis semanas tras los picos de actividad de los atacantes proporciona a los defensores un plazo concreto para aumentar la monitorización, reforzar los sistemas y actuar preventivamente, incluso antes de que se detecte una vulnerabilidad. Los CISO pueden aprovechar esta ventana para justificar la planificación o inversión temprana", afirma el informe.

Los investigadores de GreyNoise recomendaron que los CISO bloqueen las direcciones IP asociadas con tecnologías de borde de escaneo y fuerza bruta para evitar su inclusión en los inventarios de ataques, incluso si se utilizan IP diferentes para las fases posteriores del ataque.

"Según se informa, grupos de estados nacionales como Typhoons se han centrado en dispositivos de borde empresariales para el preposicionamiento, la vigilancia y la persistencia del acceso", destacaron los investigadores.

Fuente:
InfoSecurity
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario