Los actores de amenazas (tanto respaldados por el Estado como motivados financieramente) están aprovechando cada vez más vulnerabilidades previamente desconocidas, o días cero, para comprometer a sus víctimas antes de que la industria tecnológica ponga a disposición soluciones o parches, según un nuevo aviso publicado por la Agencias cibernéticas Five Eyes, incluido el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA).
Las agencias elaboraron colectivamente una lista de las 15 vulnerabilidades más explotadas de 2023 y descubrieron que la mayoría de las vulnerabilidades explotadas eran de día cero en comparación con menos de la mitad en 2022. La tendencia ha continuado hasta 2024, dijo el NCSC.
El NCSC dijo que los defensores necesitaban mejorar su juego en lo que respecta a la gestión de vulnerabilidades, prestando especial atención a aplicar las actualizaciones lo más rápido posible cuando lleguen y a asegurarse de haber identificado todos los activos de TI potencialmente afectados en sus propiedades.
La organización también instó a los proveedores y desarrolladores a hacer más para implementar principios de seguridad desde el diseño en sus productos, algo sobre lo que los gobiernos de los Cinco Ojos (Australia, Canadá, Nueva Zelanda, el Reino Unido y los Estados Unidos) se han manifestado particularmente en los últimos años. últimos 18 meses. Hacerlo ayuda a reducir el riesgo de que se introduzcan vulnerabilidades accidentalmente durante el desarrollo, solo para aprovecharlas más adelante.
“Una explotación inicial más rutinaria de las vulnerabilidades de día cero representa la nueva normalidad que debería preocupar tanto a las organizaciones de usuarios finales como a los proveedores, ya que los actores maliciosos buscan infiltrarse en las redes”, dijo el director de tecnología (CTO) del NCSC, Ollie Whitehouse.
“Para reducir el riesgo de compromiso, es vital que todas las organizaciones se mantengan a la vanguardia aplicando parches rápidamente e insistiendo en productos seguros por diseño en el mercado tecnológico”, dijo Whitehouse.
“Instamos a los defensores de la red a estar atentos a la gestión de vulnerabilidades, tener conciencia de la situación en las operaciones y pedir a los desarrolladores de productos que hagan de la seguridad un componente central del diseño y el ciclo de vida del producto para ayudar a erradicar este insidioso juego de golpear al topo en el origen. ”, añadió.
La lista completa de las vulnerabilidades explotadas con mayor frecuencia durante 2023 es la siguiente:
- CVE-2023-3519, una falla de inyección de código en Citrix NetScaler ADC y NetScaler Gateway;
- CVE-2023-4966, una vulnerabilidad de desbordamiento de búfer en Citrix NetScaler ADC y NetScaler Gateway, también conocido como Citrix Bleed;
- CVE-2023-20198, un problema de elevación de privilegios (EoP) en la interfaz de usuario web de Cisco IOS XE;
- CVE-2023-20273, un error de inyección de comandos de la interfaz de usuario web en Cisco IOS XE;
- CVE-2023-27997, una falla de desbordamiento del búfer basado en montón en Fortinet FortiOS y FortiProxy SSL-VPN;
- CVE-2023-34362, una vulnerabilidad de inyección SQL en Progress MOVEit Transfer, infamemente explotada por la banda de ransomware Cl0p, cuyas consecuencias aún se sienten;
- CVE-2023-22515, una vulnerabilidad de control de acceso rota en el servidor y centro de datos Atlassian Confluence;
- CVE-2021-44228, un problema de ejecución remota de código (RCE) en Apache Log4j2, también conocido como Log4Shell, la fuente de un incidente importante a finales de 2021 y del que todavía se abusa ampliamente años después;
- CVE-2023-2868, una falla de validación de entrada incorrecta en Barracuda Networks ESG Appliance;
- CVE-2022-47966, un problema de RCE en Zoho ManageEngine;
- CVE-2023-27350, una vulnerabilidad de control de acceso inadecuado en PaperCut MF/NG;
- CVE-2020-1472, una vulnerabilidad EoP en Microsoft Netlogon, la fuente de otro incidente histórico de alto perfil que ahora no hay excusa para no haber abordado;
- CVE-2023-427983, una falla de omisión de autenticación en JetBrains TeamCity;
- CVE-2023-23397, un problema de EoP en Microsoft Office Outlook, ampliamente utilizado por espías rusos;
- Y por último, pero no menos importante, CVE-2023-49103, una vulnerabilidad de divulgación de información en ownCloud graphapi.
La lista completa, que se puede descargar de CISA, también contiene detalles de una serie de otros problemas que se observaron explotados de forma rutinaria durante 2023, entre los que se destacan dos vulnerabilidades en los productos Ivanti reveladas en agosto de 2023 y la infame falla Fortra GoAnywhere explotada. una vez más, por la pandilla Cl0p.