Los parches en la nube pueden evitar que una vulnerabilidad se explote en el futuro
Cada 2 horas se explota una vulnerabilidad y los atacantes pueden causar importantes trastornos, tiempos de inactividad y pérdidas de ingresos. Antes de adentrarnos en los conocimientos sobre parches en la nube, es imprescindible conocer las 10 vulnerabilidades que se aprovechan con más frecuencia y cómo pueden prevenirse mediante herramientas de inteligencia de amenazas y evaluación de vulnerabilidades.
Las 10 principales vulnerabilidades explotadas habitualmente
-
ProxyLogon (CVE-2021-26855)
ProxyLogon es una vulnerabilidad en Microsoft Exchange Server que permitió a los atacantes explotar y exponer más de 6000 servidores MS Exchange. Los atacantes obtuvieron acceso a detalles confidenciales como conversaciones de correo electrónico. Los atacantes también fueron capaces de instalar web shells a través de 6000 servidores MS Exchange para su posterior explotación a través de un puerto 443 abierto.
Esto permitiría la exfiltración de datos, que es la transferencia maliciosa y no autorizada de datos de un ordenador a otro. Dado que la vulnerabilidad explotada estaba cubierta por CVE-2021- 26855, 26857, 26858, 26858 y 27065, permitía a los atacantes explotar múltiples servidores sin tener acceso a ellos.
-
Zerologon (CVE-2020-1472)
En septiembre de 2020, Tom Tervoort, investigador de la empresa Secura, anunció el fallo Zerologon. Aunque Microsoft parcheó el fallo en agosto, muchos servidores y empresas seguían siendo vulnerables. Lo preocupante del fallo Zerologon era el hecho de que un atacante que pudiera explotar una vulnerabilidad también podía elaborar un RCE (ejecución remota de código) único. Esto se conseguía mediante el uso incorrecto del modo de funcionamiento AES,
Con esta vulnerabilidad explotada en servidores MS, un atacante también podría aprovecharse del servidor raíz y del servidor de dominio.
-
Log4Shell (CVE-2021-44228)
Los atacantes utilizan activamente este RCE para explotar una vulnerabilidad. Esto también la convierte en uno de los tipos de vulnerabilidad más peligrosos y volátiles, ya que también permite a los hackers hacerse con el control total de los servidores en Internet. Esta vulnerabilidad es utilizada por los ciberdelincuentes que la utilizan para instalar Cobalt Strike para exfiltrar datos y cometer robos de credenciales.
La última etapa para explotar la vulnerabilidad fue el uso de ransomware para robar y vender datos. Esta vulnerabilidad puede afectar significativamente a las empresas y exponer sus activos e infraestructuras internas.
A menudo, las empresas sufren importantes tiempos de inactividad e interrupciones debido a un enfoque reactivo de la aplicación de parches en la nube en lugar de proactivo. Pero esto puede evitarse integrando la aplicación de parches en tiempo real, que despliega automáticamente los parches sin necesidad de reiniciar los servidores ni programar tiempos de inactividad.
-
Cliente VMware vSphere (CVE-2021-21972)
Esta vulnerabilidad RCE fue descubierta en febrero de 2021 en HTML5, también conocido como el cliente VMware vSphere. vSphere puede ser explotado por atacantes ya que puede ser utilizado para ganar control y ejecutar comandos y privilegios. Con un índice de gravedad de 9,8, esta vulnerabilidad permite a los sistemas acceder y extraer la infraestructura y los secretos empresariales.
-
PetiPotan (CVE-2021-36942)
Este fallo se descubrió en servidores Windows y tiene la capacidad de interceptar datos y suplantar tanto a clientes como al tráfico de un dominio. Esto se realiza cuando el dominio es forzado a autenticarse en un servidor NTLM que está mediado por el atacante. La explotación de esta vulnerabilidad se produce cuando el AD CS - Active Directory Certificate Services carece de configuración contra ataques NTLM.
-
Zoho ManageEngine ADSelfService Plus (CVE-2021-40539)
Los atacantes explotan una vulnerabilidad para hacer crecer una empresa, pero este RCE tampoco es difícil de convertir en un arma. Dado que el fallo está presente en su configuración por defecto, y una vez que la autenticación es eludida por los atacantes, puede ser utilizado para realizar y ejecutar comandos, también. Esta combinación es la que buscan activamente los atacantes para seguir explotando los puntos finales vulnerables del producto o software.
-
Pulse Secure Pulse Connect Secure (CVE-2019-11510)
Esta vulnerabilidad afecta significativamente a los dispositivos Pulse Secure VPN, en los que un atacante puede enviar un URI especialmente diseñado para ejecutar comandos como la lectura arbitraria de archivos. Esta vulnerabilidad explotada por atacantes rusos y chinos fue utilizada para campañas específicas, algunas incluso relacionadas con datos de investigación sobre algunos virus, como COVID-19.
Aunque se publicaron parches para esta vulnerabilidad en los dispositivos VPN, algunas credenciales comprometidas siguen siendo víctimas de ciberataques y amenazas.
-
Fortinet FortiOS y FortiProxy (CVE-2018-13379)
CVE-2018-13379 ha sido explotado durante 4 años. Esta vulnerabilidad se encuentra en el portal web FortiProxy SSL VPN, donde al ser explotada a través de peticiones de recursos HTTP, cualquier atacante puede descargar los archivos presentes en el sistema. Este fallo también se utiliza para ransomware y robo de datos. A partir de la información publicada por el CISA - Ciberseguridad, y la Agencia de Seguridad de Infraestructuras - Se cree que esta vulnerabilidad explotada también es utilizado por los atacantes rusos e iraníes.
-
Microsoft Exchange Server (CVE-2020-0688)
Esta vulnerabilidad RCE se descubrió por primera vez en 2020 en Microsoft Exchange Server. Los atacantes pueden pasar funciones arbitrarias de la aplicación web y ejecutarse como SYSTEM - La explotación de este RCE permite habilitar la recopilación de correo electrónico en redes específicas que son objetivo de los atacantes. Esta vulnerabilidad se produce cuando el servidor falla al crear claves únicas durante la instalación.
-
Servidor y centro de datos de Atlassian Confluence (CVE-2021-26084)
Esta vulnerabilidad fue clasificada como una amenaza de seguridad crítica, ya que permite al usuario no autorizado o atacante ejecutar código arbitrario en un servidor Confluence, que se despliega para la explotación masiva. La naturaleza crítica de este fallo es que no necesita una cuenta válida del sistema para llevar a cabo la explotación masiva - Puede ser realizado por cualquier usuario no autorizado ya que el código de explotación público existe y se utiliza activamente.
Conseguir un cinco nueves no es difícil
Los cinco nueves (99.999%) es un factor excesivo para que las organizaciones cambien su enfoque de la aplicación de parches. Esto significa básicamente que sus servidores no experimentan tiempos de inactividad de más de 5 minutos cada año, lo cual es un punto de referencia fenomenal y live patching le ayuda a alcanzar nueves finos con facilidad.
Si ha leído este artículo, ahora es consciente del riesgo al que se enfrentan las organizaciones cada día. Si bien estas son 10 vulnerabilidades explotadas rutinariamente, hay una legión de otros riesgos y vulnerabilidades a la espera de interrumpir sus servidores que pueden ser frustrantes de enfrentar y diez veces difícil de abordar.
Afortunadamente, para las amenazas que tienen como objetivo las vulnerabilidades de Linux, las soluciones de live patching de TuxCare pueden ayudar. Los equipos informáticos internos analizan y despliegan los parches de seguridad sin esperar a una ventana de mantenimiento ni reiniciar todo el sistema.
Póngase en contacto con expertos en ciberseguridad de TuxCare para agilizar el análisis de riesgos y la gestión de vulnerabilidades de sus servidores mediante parches para Linux, preservar los recursos informáticos y eliminar el tiempo de inactividad.