Un informe conjunto publicado por CISA, el FBI y la NSA, con el apoyo de los miembros de la alianza Five Eyes (Estados Unidos, Australia, Canadá, Nueva Zelanda y Reino Unido), revela las vulnerabilidades más explotadas por los ciberdelincuentes en 2023. Entre ellas, ocupan un lugar destacado las vulnerabilidades de día cero, que se aprovechan incluso antes de que se publiquen los parches. Estos ataques de ransomware, dirigidos contra infraestructuras críticas y software de uso generalizado, ponen en peligro los datos y sistemas de organizaciones de todo el mundo.
Explotación sin precedentes de vulnerabilidades de día cero
En 2023, los ataques que explotan vulnerabilidades conocidas alcanzaron niveles récord. Esta alarmante tendencia ha sido destacada por las principales agencias de ciberseguridad, como CISA, el FBI y la NSA, que han publicado un análisis en profundidad de las vulnerabilidades más utilizadas por los ciberdelincuentes. Estos ataques se basan principalmente en vulnerabilidades no parcheadas o configuraciones inadecuadas, que permiten a los atacantes infiltrarse en sistemas críticos y acceder a datos sensibles.
El informe indica que las vulnerabilidades de día cero, explotadas antes de que se publiquen los parches, representaron una proporción significativa de los ataques en 2023. «En 2023, la mayoría de las vulnerabilidades explotadas con más frecuencia eran vulnerabilidades de día cero, lo que representa un aumento en comparación con 2022, cuando menos de la mitad de las vulnerabilidades explotadas con más frecuencia eran vulnerabilidades de día cero», comienza el informe.
Lo que es aún más preocupante, las vulnerabilidades identificadas inicialmente varios años antes siguen siendo explotadas activamente: «Los creadores de cibermalware siguen teniendo más éxito en la explotación de vulnerabilidades en los dos años siguientes a la divulgación pública de la vulnerabilidad. La utilidad de estas vulnerabilidades disminuye con el tiempo a medida que los sistemas se parchean o sustituyen». Esto pone de manifiesto un desajuste entre la velocidad de despliegue de los parches y la agilidad de los atacantes. Esto pone de manifiesto una falta de priorización de la seguridad en muchas organizaciones.
Las 15 vulnerabilidades más explotadas en 2023
1. CVE-2023-3519: Citrix netscaler ADC y Gateway
Apodada CitrixBleed por los investigadores, esta vulnerabilidad, una de las más explotadas en 2023, permite la inyección de código en sistemas Citrix no parcheados. Un atacante no autenticado puede aprovechar una solicitud HTTP GET maliciosa para provocar un desbordamiento de búfer y ejecutar código de forma remota. Este tipo de ataque es especialmente peligroso para las empresas que utilizan soluciones Citrix para gestionar sus infraestructuras en la nube y redes corporativas. Este fallo crítico (puntuación CVSS de 9,8) fue especialmente explotado por Lockbit en su ataque a Boeing en noviembre de 2023, que resultó en el robo y publicación de 43 GB de datos sensibles. Las agencias gubernamentales también se han visto afectadas por este fallo, dando lugar a 13 incidentes importantes en el Reino Unido.
Tipo de vulnerabilidad: inyección de código.
2. CVE-2023-4966: Citrix netscaler ADC y Gateway
Esta vulnerabilidad, (puntuación CVSS de 9,4), facilita la elusión de los controles de autenticación y MFA. Fue explotada por LockBit 3.0 contra objetivos importantes como elBanco Industrial y Comercial de China (ICBC ) y el bufete de abogados Allen & Overy, poniendo en riesgo datos críticos y estratégicos como parte de ataques coordinados. En octubre de 2023 se publicó un POC (prueba de concepto) que demostraba cómo robar tokens de sesión, facilitando los ataques contra sistemas sin parches.
Tipo de vulnerabilidad: Desbordamiento de búfer.
3. CVE-2023-20198: Interfaz de usuario web de Cisco IOS XE
La explotación de esta vulnerabilidad (puntuación CVSS de 10) que afecta al software Cisco IOS XE permite a un usuario no autorizado crear una cuenta local con privilegios básicos, comprometiendo la integridad del sistema.
Tipo de vulnerabilidad : elevación de privilegios
4. CVE-2023-20273: Cisco IOS XE
Esta vulnerabilidad, (puntuación CVSS de 7,2), vinculada a la anterior, permite una elevación de privilegios hasta el nivel de administrador. Una vez explotada, proporciona control total sobre los sistemas afectados.
Tipo de vulnerabilidad: Inyección de comandos en la interfaz de usuario web.
5. CVE-2023-27997: Fortinet FortiOS SSL-VPN
Los atacantes pueden ejecutar código o comandos arbitrarios enviando peticiones específicas. Este fallo, (puntuación CVSS de 9,2), se ha explotado activamente para penetrar en redes seguras.
Tipo de vulnerabilidad: Desbordamiento de búfer basado en heap.
6. CVE-2023-34362: Transferencia MOVEit
Un fallo de inyección SQL permite obtener acceso a las API como administrador del sistema abusando de una vulnerabilidad de inyección SQL. Una vez obtenido este token, los ciberdelincuentes abusan de las llamadas de deserialización para ejecutar código malicioso. En mayo de 2023, el grupo de ransomware CL0P utilizó esta vulnerabilidad SQLi de día cero para robar datos de más de 2.700 organizaciones, comprometiendo 93 millones de registros. El fallo permitía la implementación de una webshell personalizada (LEMURLOOT ) que facilitaba la exfiltración de datos. Los ciberdelincuentes utilizan esta información para llevar a cabo ataques en cadena, comprometiendo no sólo los datos, sino también los sistemas de copia de seguridad asociados.
Tipo de vulnerabilidad: inyección SQL.
7. CVE-2023-22515: Atlassian Confluence
Esta vulnerabilidad CVE-2023-22515 en Atlassian Confluence(puntuación CVSS de 10) aprovecha una validación de entrada incorrecta para obtener acceso inicial a las redes. Este exploit también crea una nueva cuenta de administrador e instala un plugin malicioso para ejecutar código arbitrario.
Tipo de vulnerabilidad: fallo en el control de acceso.
8. CVE-2021-44228: Apache Log4j
Descubierta en diciembre de 2021, esta vulnerabilidad Log4Shell, que afecta a la biblioteca Apache Log4j, sigue siendo una de las herramientas favoritas de los ciberdelincuentes. Este fallo permite la ejecución remota de código, abriendo el camino a una serie de ataques, desde el robo de datos hasta el despliegue de ransomware.
Tipo de vulnerabilidad: ejecución remota de código.
9. CVE-2023-2868: Barracuda Email Security Gateway
Esta vulnerabilidad de validación de entrada (puntuación CVSS de 9,4) en Barracuda Email Security Gateway permite la ejecución remota de comandos, comprometiendo los entornos de correo electrónico.
Tipo de vulnerabilidad: validación de entrada incorrecta
10. CVE-2022-47966: Zoho ManageEngine
Este fallo de ejecución de código sin autenticación permite a un atacante enviar una solicitud SAML falsificada para comprometer las aplicaciones Zoho ManageEngine.
Tipo de vulnerabilidad : ejecución remota de código
11. CVE-2023-27350: PaperCut MF/NG
Mediante la combinación de un bypass de autenticación y una explotación de scripts incrustados, esta vulnerabilidad (puntuación CVSS de 9,8) permite a los ciberdelincuentes ejecutar comandos arbitrarios en sistemas vulnerables.
Tipo de vulnerabilidad: fallo en el control de acceso.
12. CVE-2020-1472: Netlogon de Microsoft
Gracias a una configuración por defecto vulnerable, un atacante puede establecer una conexión segura con el protocolo Netlogon y elevar sus privilegios para tomar el control remoto de los sistemas afectados.
Tipo de vulnerabilidad : elevación de privilegios
13. CVE-2023-42793: JetBrains TeamCity
Este fallo de autenticación (puntuación CVSS de 9,8) permite a usuarios no autorizados ejecutar código de forma remota en servidores TeamCity, comprometiendo así los entornos de desarrollo.
Tipo de vulnerabilidad: Bypass de autenticación.
14. CVE-2023-23397: Microsoft Office Outlook
Se puede realizar una elevación de privilegios enviando un correo electrónico malicioso. La vulnerabilidad, (puntuación CVSS de 9,8), se activa automáticamente cuando el cliente Outlook procesa el mensaje, sin interacción del usuario.
Tipo de vulnerabilidad : elevación de privilegios
15. CVE-2023-49103: OwnCloud graphapi
Esta vulnerabilidad (puntuación CVSS de 10) expone información sensible, como contraseñas de administrador o claves de licencia, a las que se puede acceder sin autenticación previa.
Tipo de vulnerabilidad: divulgación de información
¿Por qué estas vulnerabilidades siguen siendo un objetivo prioritario?
La persistencia de vulnerabilidades explotadas puede explicarse por varios factores:
- Parches tardíos o inexistentes: algunas organizaciones no disponen de un proceso eficaz de gestión de parches. Siguen siendo frecuentes los ataques que aprovechan vulnerabilidades publicadas hace dos o más años, señal de la lentitud en la adopción de actualizaciones.
- Complejidad de los sistemas: la creciente interconexión de los sistemas y el uso de software de terceros multiplican los posibles puntos de entrada para los atacantes. Por ejemplo, los entornos de nube híbrida suelen estar expuestos a ataques a través de herramientas de gestión poco seguras.
- Técnicas avanzadas de ataque: los ciberdelincuentes utilizan herramientas automatizadas para escanear sistemas sin parches. También colaboran a través de foros clandestinos para compartir exploits e información sobre objetivos vulnerables.
Reforzar la resistencia: estrategias de eficacia probada para los CISO
Para limitar el impacto de las vulnerabilidades, es esencial adoptar medidas preventivas sólidas. He aquí algunas recomendaciones clave para proteger sus sistemas:
Dar prioridad a la gestión de parches
La implantación de un sistema centralizado de gestión de parches permite identificar rápidamente las vulnerabilidades críticas y aplicar las actualizaciones necesarias. Las organizaciones también deben establecer políticas estrictas para reemplazar el software al final de su vida útil, que a menudo queda sin soporte de seguridad.
Reforzar la supervisión de la red
Las herramientas de análisis de comportamiento y detección de anomalías, como las soluciones de detección y respuesta de puntos terminales (EDR), desempeñan un papel clave en la detección de actividades sospechosas. Permiten bloquear rápidamente los intentos de explotar vulnerabilidades conocidas.
Establecer una arquitectura de red segmentada
Limitar los movimientos laterales de los atacantes segmentando las redes internas es una práctica esencial. Aislando los sistemas críticos, se reduce el riesgo de que un atacante ponga en peligro toda la infraestructura.
Fomentar una cultura de ciberseguridad
Los empleados suelen ser el primer punto de defensa contra los ciberataques. La formación periódica en buenas prácticas de seguridad, como el reconocimiento de correos electrónicos de phishing, puede reducir significativamente los riesgos.
Acción inmediata para contrarrestar las amenazas
En 2024, la rapidez de ejecución sigue siendo un factor clave para contrarrestar las ciberamenazas. He aquí un plan de acción inmediata:
- Audite sus sistemas para identificar las vulnerabilidades expuestas.
- Aplique parches a todas las vulnerabilidades críticas mencionadas en este informe.
- Implante soluciones de seguridad avanzadas, como cortafuegos de aplicaciones y escáneres de vulnerabilidades.
- Trabaje con sus proveedores para garantizar que sus productos cumplen los principios de diseño seguro.
«Todas estas vulnerabilidades son de dominio público, pero muchas aparecen entre las 15 primeras por primera vez «, afirmó Jeffrey Dickerson, director técnico de ciberseguridad de la NSA. «Los defensores de la red deben prestar mucha atención a las tendencias y tomar medidas inmediatas para garantizar que las vulnerabilidades se parcheen y mitiguen». Es probable que la explotación continúe en 2024 y 2025″.
Al adoptar estas medidas, su organización puede reducir los riesgos asociados con los ataques que explotan vulnerabilidades conocidas, al tiempo que aumenta la confianza de sus socios y clientes.
Fuente:
2023 Top Routinely Exploited Vulnerabilities (Principales vulnerabilidades explotadas habitualmente)
Descargar el informe «2023 Top Routinely Exploited Vulnerabilities» (pdf)
