Las autoridades de ciberseguridad acaban de emitir la alerta AA22-117A, que brinda información sobre las 15 principales vulnerabilidades y exposiciones comunes (CVE) utilizadas y explotadas con mayor frecuencia por actores cibernéticos maliciosos en 2021. Esta importante alerta fue coescrita por las autoridades de ciberseguridad de los Estados Unidos. , Australia, Nueva Zelanda, Canadá y el Reino Unido. En los Estados Unidos, los participantes clave incluyeron la Agencia de Infraestructura y Seguridad Cibernética (CISA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA). Tenga en cuenta que hay aproximadamente 611 CVE más peligrosas en el Catálogo de vulnerabilidades explotadas conocidas de CISA.
La vista de 1,000 pies
A lo largo de 2021, los actores de amenazas peligrosas atacaron vulnerabilidades de software críticas recientemente reveladas contra entidades objetivo para incluir organizaciones del sector público y privado en todo el mundo. Los ciberactores maliciosos se dirigieron a los sistemas orientados a Internet, como los servidores de correo electrónico y los servidores de red privada virtual (VPN), con la explotación de las vulnerabilidades recientemente reveladas. Para la mayoría de las principales vulnerabilidades explotadas, los investigadores u otros actores publicaron un código de prueba de concepto (POC) dentro de las dos semanas posteriores a la divulgación de la vulnerabilidad, lo que probablemente facilite la explotación por parte de una gama más amplia de actores malintencionados.
Los actores de amenazas continuaron explotando las vulnerabilidades de software más antiguas conocidas públicamente en un amplio espectro de objetivos. La explotación de vulnerabilidades más antiguas ilustra el riesgo continuo para las organizaciones que no parchean el software de manera oportuna o que utilizan software que ya no cuenta con el soporte de un proveedor.
Destacando algunas de las principales vulnerabilidades
explotadas de 2021
CVE-2021-44228. Esta vulnerabilidad, conocida como Log4Shell, afecta a la biblioteca Log4j de Apache, un marco de registro de código abierto. Un actor puede explotar esta vulnerabilidad enviando una solicitud especialmente diseñada a un sistema vulnerable que hace que ese sistema ejecute código arbitrario. La solicitud permite que un actor cibernético tome el control total del sistema. Luego, el actor puede robar información, lanzar ransomware o realizar otras actividades maliciosas. Log4j está incorporado en miles de productos en todo el mundo. Esta vulnerabilidad fue revelada en diciembre de 2021; la rápida explotación generalizada de esta vulnerabilidad demuestra la capacidad de los actores maliciosos para armar rápidamente las vulnerabilidades conocidas y apuntar a las organizaciones antes de que apliquen parches.
CVE-2021-26855, CVE-2021-26858, CVE-2021-26857, CVE-2021-27065. Estas vulnerabilidades, conocidas como ProxyLogon, afectan a los servidores de correo electrónico de Microsoft Exchange. La explotación exitosa de estas vulnerabilidades en combinación (es decir, “encadenamiento de vulnerabilidades”) permite que un actor cibernético no autenticado ejecute código arbitrario en servidores de Exchange vulnerables, lo que, a su vez, permite al actor obtener acceso persistente a archivos y buzones en los servidores, así como a las credenciales almacenadas en los servidores. La explotación exitosa también puede permitir que el actor cibernético comprometa la confianza y la identidad en una red vulnerable.
CVE-2021-34523, CVE-2021-34473, CVE-2021-31207. Estas vulnerabilidades, conocidas como ProxyShell, también afectan a los servidores de correo electrónico de Microsoft Exchange. La explotación exitosa de estas vulnerabilidades en combinación permite que un actor remoto ejecute código arbitrario. Estas vulnerabilidades residen en el Servicio de acceso de cliente (CAS) de Microsoft, que generalmente se ejecuta en el puerto 443 en los Servicios de Internet Information Server (IIS) de Microsoft (por ejemplo, el servidor web de Microsoft). CAS suele estar expuesto a Internet para permitir que los usuarios accedan a su correo electrónico a través de dispositivos móviles y navegadores web.
CVE-2021-26084. Esta vulnerabilidad, que afecta a Atlassian Confluence Server and Data Center, podría permitir que un actor no autenticado ejecute código arbitrario en sistemas vulnerables. Esta vulnerabilidad se convirtió rápidamente en una de las vulnerabilidades más explotadas de forma rutinaria después de que se publicara un POC una semana después de su divulgación. En septiembre de 2021 se observó un intento de explotación masiva de esta vulnerabilidad.
Tres de las 15 principales vulnerabilidades explotadas de forma rutinaria también se explotaron de forma rutinaria en 2020 : CVE-2020-1472, CVE-2018-13379 y CVE-2019-11510 . Su explotación continua indica que muchas organizaciones no parchean el software de manera oportuna y siguen siendo vulnerables a los actores cibernéticos maliciosos.
La siguiente tabla muestra las 15 principales vulnerabilidades:
Las autoridades de seguridad cibernética alientan a las organizaciones a aplicar las recomendaciones que se describen en la sección Mitigaciones de la alerta. Estas mitigaciones incluyen la aplicación de parches oportunos a los sistemas y la implementación de un sistema centralizado de gestión de parches para reducir el riesgo de compromiso por parte de actores cibernéticos malintencionados.
El DNS sigue siendo un vector de ataque peligroso
El DNS, como siempre, es aprovechado constantemente por los actores de amenazas. Es casi imposible que se desarrollen cadenas de ataque sin utilizar los servicios de DNS. La seguridad a través de DNS, como la proporcionada por BloxOne Threat Defense, está diseñada para evitar que los usuarios se conecten a destinos maliciosos y para detectar comportamientos anómalos en la red, como comunicaciones C&C, actividad de amenazas persistentes avanzadas, actividad de algoritmo de generación de dominio (DGA), comunicaciones de botnet, tunelización de DNS y exfiltración de datos.
La seguridad de Infoblox también se integra con los sistemas de Automatización y Remediación de Orquestación de Seguridad (SOAR), soluciones de ITSM, escáneres de vulnerabilidades y otras herramientas del ecosistema de seguridad para desencadenar acciones de remediación automáticamente cuando se detecta cualquier actividad maliciosa. Esto puede ayudar a acelerar la respuesta de una organización a los eventos de seguridad y la contención rápida de amenazas.
Los registros de DNS contienen una gran cantidad de datos que se pueden aprovechar en todo su ecosistema de ciberseguridad. El análisis de los registros de DNS es una forma muy eficaz de ver a qué recursos ha estado accediendo un cliente históricamente. La huella digital DHCP y los metadatos de IPAM (Administración de direcciones IP) brindan información contextual sobre los dispositivos comprometidos, como el tipo de dispositivo, la información del sistema operativo, la ubicación de la red y las asignaciones de direcciones IP actuales e históricas. Toda esta información ayuda a su equipo del centro de operaciones de seguridad (SOC) a correlacionar eventos más rápidamente y comprender el alcance de una infracción.
Vulnerabilidades más explotadas en el 2021
Las autoridades de ciberseguridad acaban de emitir la alerta AA22-117A, que brinda información sobre las 15 principales vulnerabilidades y exposiciones comunes (CVE) utilizadas y explotadas con mayor frecuencia por actores cibernéticos maliciosos en 2021. Esta importante alerta fue coescrita por las autoridades de ciberseguridad de los Estados Unidos. , Australia, Nueva Zelanda, Canadá y el Reino Unido. En los Estados Unidos, los participantes clave incluyeron la Agencia de Infraestructura y Seguridad Cibernética (CISA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA). Tenga en cuenta que hay aproximadamente 611 CVE más peligrosas en el Catálogo de vulnerabilidades explotadas conocidas de CISA.
La vista de 1,000 pies
A lo largo de 2021, los actores de amenazas peligrosas atacaron vulnerabilidades de software críticas recientemente reveladas contra entidades objetivo para incluir organizaciones del sector público y privado en todo el mundo. Los ciberactores maliciosos se dirigieron a los sistemas orientados a Internet, como los servidores de correo electrónico y los servidores de red privada virtual (VPN), con la explotación de las vulnerabilidades recientemente reveladas. Para la mayoría de las principales vulnerabilidades explotadas, los investigadores u otros actores publicaron un código de prueba de concepto (POC) dentro de las dos semanas posteriores a la divulgación de la vulnerabilidad, lo que probablemente facilite la explotación por parte de una gama más amplia de actores malintencionados.
Los actores de amenazas continuaron explotando las vulnerabilidades de software más antiguas conocidas públicamente en un amplio espectro de objetivos. La explotación de vulnerabilidades más antiguas ilustra el riesgo continuo para las organizaciones que no parchean el software de manera oportuna o que utilizan software que ya no cuenta con el soporte de un proveedor.
Destacando algunas de las principales vulnerabilidades
explotadas de 2021
La siguiente tabla muestra las 15 principales vulnerabilidades:
Las autoridades de seguridad cibernética alientan a las organizaciones a aplicar las recomendaciones que se describen en la sección Mitigaciones de la alerta. Estas mitigaciones incluyen la aplicación de parches oportunos a los sistemas y la implementación de un sistema centralizado de gestión de parches para reducir el riesgo de compromiso por parte de actores cibernéticos malintencionados.
El DNS sigue siendo un vector de ataque peligroso
El DNS, como siempre, es aprovechado constantemente por los actores de amenazas. Es casi imposible que se desarrollen cadenas de ataque sin utilizar los servicios de DNS. La seguridad a través de DNS, como la proporcionada por BloxOne Threat Defense, está diseñada para evitar que los usuarios se conecten a destinos maliciosos y para detectar comportamientos anómalos en la red, como comunicaciones C&C, actividad de amenazas persistentes avanzadas, actividad de algoritmo de generación de dominio (DGA), comunicaciones de botnet, tunelización de DNS y exfiltración de datos.
La seguridad de Infoblox también se integra con los sistemas de Automatización y Remediación de Orquestación de Seguridad (SOAR), soluciones de ITSM, escáneres de vulnerabilidades y otras herramientas del ecosistema de seguridad para desencadenar acciones de remediación automáticamente cuando se detecta cualquier actividad maliciosa. Esto puede ayudar a acelerar la respuesta de una organización a los eventos de seguridad y la contención rápida de amenazas.
Los registros de DNS contienen una gran cantidad de datos que se pueden aprovechar en todo su ecosistema de ciberseguridad. El análisis de los registros de DNS es una forma muy eficaz de ver a qué recursos ha estado accediendo un cliente históricamente. La huella digital DHCP y los metadatos de IPAM (Administración de direcciones IP) brindan información contextual sobre los dispositivos comprometidos, como el tipo de dispositivo, la información del sistema operativo, la ubicación de la red y las asignaciones de direcciones IP actuales e históricas. Toda esta información ayuda a su equipo del centro de operaciones de seguridad (SOC) a correlacionar eventos más rápidamente y comprender el alcance de una infracción.
Categorías
Buscar