Durante los primeros siete meses y medio de 2024, el número de vulnerabilidades y exposiciones comunes (CVE) recientemente reveladas se disparó un 30% interanual, de 17.114 a 22.254, según datos publicados por investigadores de Qualys.
Sin embargo, de esta enorme cantidad de fallas, apenas una centésima parte (204 o 0,9%) fueron utilizadas como armas por actores de amenazas, dijo Qualys, la mayoría de los cuales explotan aplicaciones públicas o servicios remotos, que son útiles para obtener acceso inicial y realizar movimiento lateral.
Leer al pie de la letra esta estadística puede parecer una buena noticia, pero ofrece sólo un escaso consuelo para los profesionales cibernéticos, dijo Qualys, ya que estas vulnerabilidades aún presentan una amenaza significativa y requieren medidas defensivas cada vez más enfocadas.
“Esta fracción muy pequeña de vulnerabilidades representa las amenazas más graves. Este subconjunto representa el mayor riesgo, caracterizado por exploits armados, explotación activa a través de ransomware, uso por parte de actores de amenazas, malware o casos confirmados de explotación salvaje”, dijo el gerente de producto de la Unidad de Investigación de Amenazas (TRU) de Qualys, Saeed Abbasi.
“Para mitigar eficazmente dichas amenazas, es fundamental priorizar las vulnerabilidades explotadas activamente, aprovechar la inteligencia sobre amenazas y programar análisis periódicamente para detectar nuevas vulnerabilidades. Una herramienta de gestión de vulnerabilidades que integre inteligencia sobre amenazas podría ser fundamental para una empresa”.
Según el ejercicio de recopilación y análisis de datos de Qualys, las vulnerabilidades más explotadas de 2024 a la fecha son las siguientes:
- CVE-2024-21887, una falla de inyección de comandos en Ivanti Connect y Policy Secure Web;
- CVE-2023-46805, una falla de omisión de autenticación remota en Ivanti Connect y Policy Secure Web;
- CVE-2024-21412, una falla de omisión de característica de seguridad en Microsoft Windows;
- CVE-2024-21893, una falla de elevación de privilegios en Ivanti Connect y Policy Secure Web;
- CVE-2024-3400, una falla de inyección de comandos en Palo Alto Networks PAN-OS;
- CVE-2024-1709, una falla de omisión de autenticación en ConnectWise ScreenConnect;
- CVE-2024-20399, una falla de inyección de comandos en la interfaz de línea de comando en el software Cisco NX-OS;
- CVE-2024-23897, una falla de ejecución remota de código en Jenkins Core;
- CVE-2024-21762, una falla de escritura fuera de límites en Fortinet FortiOS;
- CVE-2023-38112, una falla de suplantación de plataforma MSHTLM en Microsoft Windows.
Con la excepción de la vulnerabilidad Jenkins Core, todos los 10 principales de Qualys también aparecen en el catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), que exige la aplicación de parches en todos los organismos gubernamentales de EE. UU.
Muchas de estas vulnerabilidades, en particular aquellas en el conjunto de productos de Ivanti y ConnectWise ScreenConnect, ya han estado en el centro de algunos de los incidentes de ciberseguridad más impactantes del año hasta el momento. La última vulnerabilidad de la lista, en la plataforma MSHTML de Windows, se reveló hace solo unas semanas en la actualización del martes de parches de julio y, aunque probablemente haya sido explotada desde 2023, su inclusión en la lista de las 10 principales de Qualys sirve como una advertencia para administradores de la velocidad con la que los actores de amenazas detectan vulnerabilidades publicitadas.
Las viejas vulnerabilidades demuestran su valor
La tendencia general al alza en los volúmenes de CVE subraya una “escalada persistente y sustancial” en el descubrimiento de vulnerabilidades, explicó Abbasi.
“El aumento de CVE refleja la creciente complejidad del software y el uso más amplio de la tecnología, lo que requiere estrategias avanzadas y dinámicas de gestión de vulnerabilidades para mitigar las cambiantes amenazas a la seguridad cibernética”, dijo.
Sin embargo, el análisis de Qualys TRU también ha indicado un aumento en el uso de armas de los antiguos CVE este año. Si bien los errores más antiguos a menudo resurgen y los exploits se desarrollan mucho después de su divulgación, ha habido un aumento del 10% en este tipo de actividad en lo que va del año. Abbasi dijo que esto era un “claro recordatorio” de que la seguridad no consiste sólo en adelantarse a los actores de amenazas, sino también en no quedarse atrás.
Muchas de las vulnerabilidades armadas más antiguas en circulación han sido tendencia en la web oscura durante meses, un ejemplo destacado es CVE-2023-43208 en NextGen Mirth Connect Java XStream, muy utilizado por el sector de la salud. Y justo esta semana, CISA añadió al catálogo KEV un error de ejecución remota de código de seis años de antigüedad en Microsoft COM, después de que los investigadores de Cisco Talos descubrieran que estaba siendo explotado por una APT del gobierno chino en una cadena de ataque utilizada contra una víctima taiwanesa.
“Este resurgimiento de vulnerabilidades previamente identificadas, que afectan principalmente a los servicios remotos y las aplicaciones públicas, pone de relieve una importante supervisión en la actualización y aplicación de los protocolos de seguridad cibernética. Este resurgimiento enfatiza la necesidad de pasar de una postura de seguridad puramente reactiva a un enfoque más proactivo, predictivo y preventivo”, advirtió Abbasi.