Vulnerabilidades críticas que necesita buscar y reparar para proteger a la fuerza laboral remota
Dado que los tiempos de incertidumbre conllevan un cambio en la forma de trabajar, es primordial identificar, priorizar y abordar los fallos críticos que se explotaron en la realidad.
Recientemente, compartimos algunas ideas sobre cómo la respuesta mundial ante la COVID-19 amplió la superficie de ataque de los negocios. Estas percepciones, determinadas por nuestra propia investigación e inteligencia de código abierto, permiten vislumbrar algunas de las problemáticas clave que las organizaciones necesitan abordar, dada la dinámica de una fuerza de trabajo en continuo cambio.
Con decenas de miles de vulnerabilidades detectadas anualmente, es fundamental centrarse en los problemas de mayor riesgo.
El estado del CVSS
El Sistema Común de Puntuación de Vulnerabilidades (CVSS) es un sistema estándar de la industria que se utiliza para proporcionar información valiosa sobre el alcance y la gravedad de las vulnerabilidades. Normalmente, las puntuaciones CVSS se definen en el momento en que se generaron para un CVE. Sin embargo, no siempre tienen en cuenta los cambios en el impacto de una vulnerabilidad hasta mucho después.
Por ejemplo, a una vulnerabilidad en la Red Privada Virtual (VPN) de Capa de Sockets Seguros (SSL) de Pulse Connect, identificada como CVE-2019-11510, se le asignó originalmente una puntuación CVSS de 8,8 el 9 de mayo de 2019, lo que generó que la falla se clasificara como una vulnerabilidad de gravedad alta. Sin embargo, pese a la disponibilidad de una prueba de concepto para la vulnerabilidad el 21 de agosto de 2019, la puntuación CVSS no se actualizó para reflejar la naturaleza crítica de la falla hasta un mes más tarde, el 20 de septiembre de 2019.
Del mismo modo, una vulnerabilidad en la VPN SSL de FortiGuard, identificada como CVE-2018-13379, recibió inicialmente una puntuación CVSS de 7,5 el 5 de junio de 2019. Sin embargo, su puntuación CVSS no se actualizó hasta el 19 de septiembre de 2019, un mes después de que la investigación sobre la falla se hiciera pública el 9 de agosto, así como también los intentos externos de identificar la vulnerabilidad en la realidad junto con CVE-2019-11510, el 22 de agosto.
Las puntuaciones CVSS son un indicador útil de la gravedad de una vulnerabilidad y no deben desestimarse, pero a veces, confiar únicamente en ellas a fin de priorizar las vulnerabilidades para su corrección, puede ser problemático.
Priorización de la colocación de parches contra estas vulnerabilidades
A través de la Priorización Predictiva de Tenable, se da a las vulnerabilidades un Índice de Priorización de Vulnerabilidades (Vulnerability Priority Rating, VPR), que no solo tiene en cuenta el CVSS, sino que también aprovecha un algoritmo de aprendizaje automático en combinación con la inteligencia de amenazas para priorizar las vulnerabilidades. Con el objetivo de contribuir a proteger la superficie de ataque en expansión, proporcionamos una lista de las vulnerabilidades que nuestro equipo y el de ciencia de datos identificaron como las más críticas, junto con su VPR, a fin de que las organizaciones puedan colocar parches contra ellas.
Facilitación del trabajo remoto
Las organizaciones utilizan software VPN SSL, como Pulse Connect Secure, FortiGate, GlobalProtect, Citrix Application Delivery Controller y Citrix Gateway, para proporcionar acceso seguro a la red de una compañía. Se han detectado varias vulnerabilidades en estas aplicaciones, que fueron explotadas en la realidad por agentes maliciosos. Por lo tanto, cada vez es más importante que las organizaciones que utilizan cualquiera de estas VPN SSL verifiquen que se les hayan colocado los parches correctos.
Además, los Servicios de Escritorio remoto permiten que el personal se conecte virtualmente a las computadoras del entorno de la compañía como si estuviera físicamente presente frente al sistema. CVE-2019-0708, una vulnerabilidad de ejecución remota de código en Servicios de Escritorio remoto, apodada "BlueKeep", es otra falla que recibió mucha atención debido a su capacidad de facilitar los próximos ataques "WannaCry". Si bien dichos ataques nunca se concretaron, se informó que fue explotada en la realidad varios meses después. Sin embargo, los Servicios de Escritorio remoto son un componente que las organizaciones deben monitorear con regularidad en busca de intentos de explotación, así como también deben identificar los objetivos expuestos en el Protocolo de escritorio remoto.
CVE | Producto | CVSS v3.x | VPR* | Intensidad de la amenaza |
---|---|---|---|---|
CVE-2019-11510 | Pulse Connect Secure | 10 | 10 | Muy alta |
CVE-2018-13379 | VPN SSL de FortiGate | 9.8 | 9.6 | Muy alta |
CVE-2019-1579 | Palo Alto Networks GlobalProtect | 8.1 | 9.4 | Alta |
CVE-2019-19781 | Citrix Application Delivery Controller, Citrix Gateway | 9.8 | 9.9 | Muy alta |
CVE-2019-0708 | Servicios de Escritorio remoto | 9.8 | 9.9 | Muy alta |
*Tenga en cuenta que la puntuación del VPR de Tenable se calcula todas las noches. Esta publicación en el blog se hizo el 13 de abril y refleja el VPR de ese momento.
Vulnerabilidades que se utilizan en correos electrónicos maliciosos y kits del exploit
Al tiempo que los ciberdelincuentes se aprovechan del temor a la COVID-19, una de las vulnerabilidades más populares de las que se sirven los documentos maliciosos es la CVE-2017-11882, una vulnerabilidad de desbordamiento de pila en el Editor de ecuaciones, un componente de Microsoft Office. Ha sido una constante en las campañas de correos electrónicos fraudulentos durante años, y continuará siendo una de las herramientas más comunes de los agentes maliciosos.
Otro instrumento del arsenal de los agentes maliciosos es el uso de kits del exploit, software diseñado por los ciberdelincuentes para detectar la presencia de aplicaciones informáticas populares en la computadora de la víctima, y seleccionar la vulnerabilidad más apropiada para explotarla. Mientras que las vulnerabilidades de Adobe Flash Player, como CVE-2018-15982 y CVE-2018-4878, fueron hasta el momento elementos básicos de varios kits del exploit, el hecho de que Adobe Flash Player esté cerca del fin de su vida útil, junto con la transición hacia HTML5, ha obligado a algunos kits del exploit a abandonar por completo las vulnerabilidades de Flash Player y a buscar otras vulnerabilidades en su lugar. CVE-2018-8174, una vulnerabilidad de tipo use-after-free en el motor VBScript, apodada "Double Kill" (Doble muerte) por los investigadores porque corrompe dos objetos de memoria, es una de esas vulnerabilidades que se vio favorecida en los kits del exploit.
CVE | Producto | CVSS v3.x | VPR* | Intensidad de la amenaza |
---|---|---|---|---|
CVE-2017-11882 | Microsoft Office | 7.8 | 9.9 | Muy alta |
CVE-2018-15982 | Adobe Flash Player | 9.8 | 9.9 | Muy alta |
CVE-2018-8174 | Internet Explorer (motor VBScript) | 7.5 | 9.9 | Muy alta |
CVE-2018-4878 | Adobe Flash Player | 7.5 | 9.8 | Muy alta |
CVE-2017-0199 | Microsoft Office | 7.8 | 9.9 | Muy alta |
*Tenga en cuenta que la puntuación del VPR de Tenable se calcula todas las noches. Esta publicación en el blog se hizo el 13 de abril y refleja las puntuaciones VPR de ese momento.
Otras vulnerabilidades explotadas en la realidad
En el caso de las organizaciones que utilizan ciertas versiones del software Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD), es importante colocar un parche contra CVE-2018-0296, un fallo de denegación de servicio en la interfaz web de estos dispositivos que provoca recargas inesperadas. Cisco advirtió que ciertas versiones vulnerables de ASA no se recargan, pero un atacante no autenticado podría ver información confidencial del sistema en el dispositivo. A finales de 2019, se informó que los intentos de explotación de esta vulnerabilidad se habían intensificado.
Además, CVE-2019-0604, una vulnerabilidad de validación de entrada no válida de Microsoft SharePoint, la popular plataforma de colaboración utilizada para el almacenamiento y la gestión de documentos, ha sido explotada en la realidad desde mayo de 2019. Inicialmente, a esta falla se le dio una puntuación CVSSv3 de 7,8. Se corrigió en junio de 2019 a un 8,8, y se actualizó nuevamente a un 9,8 en diciembre de 2019. Si su organización utiliza Microsoft SharePoint, es fundamental colocar un parche contra esta falla.
CVE | Producto | CVSSv3.x | VPR* | Intensidad de la amenaza |
---|---|---|---|---|
CVE-2018-0296 | Cisco ASA y Firepower | 7.5 | 8.8 | Muy baja |
CVE-2019-0604 | Microsoft SharePoint | 9.8 | 9.4 | Baja |
*Tenga en cuenta que la puntuación del VPR de Tenable se calcula todas las noches. Esta publicación en el blog se hizo el 13 de abril y refleja las puntuaciones VPR de ese momento.
Toma de decisiones en un mar de incertidumbres
Con todos los cambios en la forma de trabajar en estos tiempos de incertidumbre, las organizaciones necesitan comprender cómo cambia la superficie de ataque y cuál es la mejor forma de responder. El conocimiento es poder, tanto en la comprensión de su riesgo al conocer los activos que tiene en su entorno, como en la visión para tomar decisiones basadas en el riesgo. La implementación de un programa de gestión de vulnerabilidades basada en el riesgo dentro de su organización puede ayudarle a avanzar en este terreno desconocido.
Identificación de los sistemas afectados
Encontrará una lista de los complementos de Tenable que identifican estas vulnerabilidades aquí.
Obtenga más información
Únase al Equipo de respuesta de seguridad de Tenable en Tenable Community.
Obtenga más información sobre Tenable, la primera plataforma de Cyber Exposure para el control integral de la superficie de ataque moderna.
Obtenga una prueba gratuita por 30 días de Tenable.io Vulnerability Management.
Artículos relacionados
- Remote Workforce
- Vulnerability Management