El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y sus homólogos de Australia y EE. UU. Han publicado hoy un aviso que destaca las vulnerabilidades y exposiciones comunes (CVE) más ampliamente explotadas del año hasta ahora, y las 30 más explotadas de 2020.
Las tres agencias dijeron que, dada la pandemia en curso y el giro asociado al trabajo remoto y el uso de redes privadas virtuales (VPN) y servicios en la nube, los actores maliciosos han aumentado su objetivo de vulnerabilidades en dispositivos de tipo perimetral, lo que representa una carga adicional para los defensores. que ya están luchando por mantenerse al día con sus requisitos de parcheo de rutina.
“El aviso publicado hoy pone el poder en manos de todas las organizaciones para corregir las vulnerabilidades más comunes, como los dispositivos de puerta de enlace VPN sin parches”, dijo el director de operaciones de NCSC Paul Chichester.
“Trabajando con nuestros socios internacionales, continuaremos creando conciencia sobre las amenazas que plantean aquellos que buscan causar daño”.
Eric Goldstein, subdirector ejecutivo de seguridad cibernética de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), agregó: “Las organizaciones que aplican las mejores prácticas de seguridad cibernética, como parches, pueden reducir el riesgo de que los actores cibernéticos exploten vulnerabilidades conocidas en sus redes. .
“La colaboración es una parte crucial del trabajo de CISA, y hoy nos asociamos con ACSC, NCSC y FBI para resaltar las vulnerabilidades cibernéticas que las organizaciones públicas y privadas deben priorizar para parchear para minimizar el riesgo de ser explotados por actores malintencionados”.
Las vulnerabilidades más explotadas de 2020 incluyeron múltiples vulnerabilidades de ejecución remota de código en productos como Atlassian, Drupal, F5-Big IP, Microsoft, MobileIron y Telerik, junto con el infame CVE-2019-19781, una vulnerabilidad de ejecución de código arbitrario en Citrix. y otros errores en los productos Fortinet, Pulse Secure y Netlogon. Muchos de ellos todavía están siendo ampliamente explotados en la actualidad.
La lista de 2021 incluye las vulnerabilidades explotadas en ataques generalizados realizados a través de Accellion FTA, Microsoft Exchange Server, Fortinet, Pulse Secure y VMware. La lista completa, que también contiene más información técnica, está disponible para descargar de CISA.
Las agencias instaron a los usuarios finales a hacer todo lo posible para actualizar las versiones de software tan pronto como sea posible una vez que los parches estén disponibles por parte del proveedor en cuestión, que es, en última instancia, la mejor práctica más eficaz para mitigar los CVE. Automatizar las actualizaciones de software siempre que sea posible es un buen comienzo.
De no ser así, las organizaciones deberían priorizar la aplicación de parches para los CVE que ya se sabe que están siendo explotados o que son accesibles para la mayor cantidad de atacantes potenciales, como los sistemas que se enfrentan a la Internet pública.
Si los recursos de las ciberdefensas son escasos, centrarse en mitigar las vulnerabilidades más comunes no solo sirve para reforzar la seguridad de la red y, al mismo tiempo, impide la capacidad de los actores malintencionados de comprometer los sistemas de destino.
A modo de ejemplo, CVE-2019-11580, una vulnerabilidad de RCE en la aplicación de gestión de identidad centralizada Crow de Atlassian, fue uno de los errores en los que más confiaron los grupos respaldados por el estado-nación en 2020; si los usuarios de Atlassian se hubieran centrado en esto en ese momento, podrían han tenido un impacto significativo en la capacidad de los atacantes para comprometer a sus víctimas al obligarlas a tratar de encontrar alternativas.