Agencias gubernamentales advierten de individuos patrocinados por estados que explotan vulnerabilidades públicamente conocidas
Personas patrocinadas por los gobiernos de Rusia y China explotan vulnerabilidades conocidas públicamente en sus ataques, pero todas ellas ya cuentan con parches disponibles públicamente.
El 20 de octubre, la Agencia de Seguridad Nacional (NSA) publicó un boletín de seguridad detallado para informar a los defensores acerca de "agentes cibernéticos" patrocinados por el estado chino que estaban explotando vulnerabilidades conocidas. El boletín está destinado a ayudar a los defensores de la red a priorizar la aplicación de parches y los esfuerzos de mitigación, y especifica además que los activos de cara a Internet como las herramientas de acceso remoto y los servicios web externos, son objetivos clave para los agentes maliciosos.
Dos días después, la Agencia de Ciberseguridad y Seguridad de infraestructura (CISA) publicó un boletín de ciberseguridad conjuntamente con la Oficina Federal de Investigación (FBI), en él notificaba de individuos patrocinados por el estado ruso que usan amenazas persistentes avanzadas (APT) aprovechando cinco vulnerabilidades conocidas públicamente en sus ataques. Tres de las cinco vulnerabilidades enumeradas en este boletín también se encontraban en el aviso de la NSA.
Aunque el aviso de la NSA se centró principalmente en los sistemas nacionales de seguridad social, termina con una amplia advertencia, "debido a los diferentes sistemas y redes que podría verse afectados por la información de este producto [aviso de la NSA] fuera de estos sectores, la NSA recomienda que las CVE anteriores sean priorizadas para que todos los defensores de la red emprendan acciones".
Muchas de las vulnerabilidades en estos boletines se alineen con avisos similares que han sido publicados por la CISA durante el último año y todas las vulnerabilidades enumeradas tienen parches disponibles.
Boletines previos
Este es el último de una serie de avisos este año de agencias gubernamentales que advierten sobre individuos que aprovechan vulnerabilidades conocidas con parches disponibles. Dos de las vulnerabilidades enlistadas en el aviso de la NSA, CVE-2020-19781 y CVE-2019-11510, se identificaron como unas de las más explotadas vulnerabilidades en 2020 en el CISA Aviso de Principales 10 vulnerabilidades explotadas sistemáticamente. Anteriormente, en octubre, la CISA se alió con el FBI en un boletín conjunto en relación a la actividad APT que aprovecha varias vulnerabilidades conocidas, incluyendo CVE-2020-1472 "Zerologon". Varias de las vulnerabilidades enlistadas en ese boletín conjunto también se incluyen en el último aviso de la NSA.
Colocación de parches y mitigación
La NSA enlista seis pasos para la mitigación general en su aviso. Primero en la lista está la colocación de parches y las actualizaciones oportunas:
- Mantenga los sistemas y productos actualizados y con parches tan pronto como sea posible después de que los parches sean liberados.
- Tenga en mente que el daño causado por datos robados o modificados (incluidas las credenciales, cuentas y software) antes de que al dispositivo se le coloquen parches, no será subsanado por parches, lo que hace que los cambios de contraseñas y revisiones de cuentas sean una buena práctica.
- Deshabilite las capacidades de gestión externa y establezca una red de gestión fuera de banda.
- Bloquee protocolos obsoletos o no utilizados en el borde de la red y desactívelos en las configuraciones del dispositivo.
- Aísle los servicios accesibles desde la Internet en una zona desmilitarizada (DMZ) de la red para reducir la exposición de la red interna.
- Habilite un inicio de sesión robusto de servicios orientados a Internet y supervise los registros en busca de señales de riesgo.
Estas series de advertencias emitidas por agencias gubernamentales deben destacar suficientemente la importancia de colocar parches en estas vulnerabilidades de manera rápida y completa. Agentes maliciosos de diversos niveles de habilidades, están explotando activamente estas deficiencias en sus ataques contra diversos objetivos, y continuarán haciéndolo hasta que las víctimas no hayan aplicado los parches disponibles para sus respectivos dispositivos.
Cobertura de Tenable
Tenable cuenta con cobertura de productos para todas las 27 vulnerabilidades enlistadas tanto en el aviso de la NSA como en el aviso de CISA/FBI. La tabla a continuación incluye enlaces a los plug-ins pertinentes para cada vulnerabilidad, así como el análisis de Tenable Research.
CVE | Producto | Fecha de revelación | Plug-ins e información adicional |
---|---|---|---|
CVE-2015-4852 | Oracle WebLogic Server | Noviembre de 2015 | Plug-ins |
CVE-2017-6327 | Symantec Messaging Gateway | Agosto de 2017 | Plug-ins |
CVE-2018-6789 | Exim Message Transfer Agent | Febrero de 2018 | Plug-ins |
CVE-2018-4939 | Adobe ColdFusion | Mayo de 2018 | Plug-ins |
CVE-2019-3396 | Atlassian Confluence | Marzo de 2019 | Plug-ins | Publicación de blog |
CVE-2019-0708 | Windows Remote Desktop Protocol | Abril de 2019 | Plug-ins | Publicaciones de blog: 1, 2, 3 |
CVE-2019-0803 | Windows Win32k | Abril de 2019 | Plug-ins |
CVE-2019-11510 | Pulse Connect Secure | Abril de 2019 | Plug-ins | Publicaciones de blog: 1, 2, 3, 4 |
CVE-2019-11580 | Atlassian Crowd | Junio de 2019 | Plug-ins | Publicación de blog |
CVE-2019-1040 | Windows NTLM | Junio de 2019 | Plug-ins |
CVE-2019-18935 | Telerik UI for ASP.NET | Diciembre de 2019 | Plug-ins | Publicación de blog |
CVE-2019-19781 | Citrix Application Delivery Controller (ADC), Gateway and SDWAN WAN-OP | Diciembre de 2019 | Plug-ins | Publicaciones de blog 1, 2, 3, 4, 5, 6 |
CVE-2020-0601 | Windows CryptoAPI | Enero de 2020 | Plug-ins | Publicaciones de blog: 1, 2 |
CVE-2020-2555 | Oracle Coherence | Enero de 2020 | Plug-ins | Publicación de blog |
CVE-2020-3118 | Cisco Discovery Protocol | Febrero de 2020 | Plug-ins | Publicación de blog |
CVE-2020-0688 | Microsoft Exchange Server | Febrero de 2020 | Plug-ins | Publicaciones de blog: 1, 2, 3 |
CVE-2020-8515 | DrayTek Vigor | Febrero de 2020 | Plug-ins |
CVE-2020-10189 | Zoho ManageEngine | Marzo de 2020 | Plug-ins | Publicación de blog |
CVE-2020-5902 | F5 BIG-IP | Julio de 2020 | Plug-ins | Publicaciones de blog: 1, 2, 3 |
CVE-2020-15505 | MobileIron MDM | Julio de 2020 | Plug-ins | Publicación de blog |
CVE-2020-1350 | Windows DNS Server | Julio de 2020 | Plug-ins | Publicación de blog |
CVE-2020-8193 | Citrix ADC, Gateway and SDWAN WAN-OP | Julio de 2020 | Plug-ins | Publicación de blog |
CVE-2020-8195 | Citrix ADC, Gateway and SDWAN WAN-OP | Julio de 2020 | Plug-ins | Publicación de blog |
CVE-2020-8196 | Citrix ADC, Gateway and SDWAN WAN-OP | Julio de 2020 | Plug-ins | Publicación de blog |
CVE-2020-1472 | Microsoft Netlogon | Agosto de 2020 | Plug-ins | Publicaciones de blog: 1 ,2, 3 |
Vulnerabilidades en el aviso de CISA/FBI (AA20-296A) | |||
CVE-2018-13379 | Fortinet VPN | Mayo de 2019 | Plug-ins | Publicaciones de blog: 1, 2, 3 |
CVE-2019-10149 | Exim | Junio de 2019 | Plug-ins | Publicación de blog |
Obtenga más información
- Asista a nuestro seminario web del 29 de octubre: Mejore su respuesta a los últimos ataques patrocinados por estados, 2 p.m. ET, jueves 29 de octubre de 2020
- Alerta de NSA: Individuos patrocinados por el estado chino explotan vulnerabilidades conocidas públicamente
- Alerta de CISA/FBI (AA20-296A): Agente malicioso persistente avanzado patrocinado por el estado ruso pone en riesgo a los EE. UU. Objetivos gubernamentales
Únase al Equipo de respuesta de seguridad de Tenable en Tenable Community.
Obtenga más información sobre Tenable, la primera plataforma de Cyber Exposure para el control integral de la superficie de ataque moderna.
Obtenga una prueba gratuita de 30 días de Tenable.io Vulnerability Management.
Artículos relacionados
- Federal
- Government
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning