Durante el año 2020 fueron reportadas 12.174 nuevas vulnerabilidades y exposiciones (CVEs) a las que debemos sumar otras muchas que, incluso varios años después, siguen siendo utilizadas para romper nuestros sitios y conseguir datos de nuestros usuarios.
De acuerdo con Gartner, el 99% de las vulnerabilidades identificadas durante el año 2020 fueron detectadas en el mismo momento en el que éstas fueron explotadas, y de media, se tardó 38 días en encontrar e implementar un parche que las solucionara. La forma más común para infectar un sistema sigue siendo la del enlace que contiene un archivo en el cual se inserta un código malicioso que se ejecuta inmediatamente éste es pulsado.
Aún con todo lo que ya hemos dicho, y en consonancia a lo que vamos a decir a continuación, sigue siendo primordial nuestro trabajo, como administradores de un sitio web, en la actualización del software que ejecutamos en nuestro servidor para que puedan ser activados todos los parches y mejoras de seguridad que se incluyen con cada nueva versión de éste.
Las Common Vulnerabilities and Exposure (CVEs) son una lista de información registrada, con una nomenclatura estándar que las permite ser identificada de forma inequívoca, sobre vulnerabilidades de seguridad conocidas y reportadas. Está mantenida por The MITRE Corporation con fondos de la National Cyber Security Division del gobierno de los Estados Unidos.
Las cinco vulnerabilidades más explotadas durante el año 2020 son viejas conocidas, tanto de los profesionales de la seguridad informática como de los delincuentes que hacen uso de ellas, y como hemos comentado, se aprovechan de sistemas que no tienen un correcto mantenimiento, y por lo tanto son vulnerables. Estas cinco vulnerabilidades CVE que mayormente han sido empleadas son:
- CVE-2012-0158.- Esta vieja vulnerabilidad de desbordamiento de buffer en los controles de The List View / Tree View ActiveX de la librería MSCOMCTL.OCX de los sistemas de Microsoft sigue ocupando el primer lugar año tras año. Puede ser activado abriendo archivos .DOC o .RTF, en los cuales puede ser insertado un programa corrupto. Este virus ha llegado a infectar importantes sistemas gubernamentales, como fue el caso del sistema médico de Canadá.
- CVE-2019-0604.- Ejecución de código remoto (RCE) en Microsoft SharePoint como consecuencia de una mala comprobación del software sobre las marcas fuente en el paquete de la aplicación. Esta vulnerabilidad permitiría a un posible atacante ejecutar código malicioso tanto dentro del grupo de aplicaciones SharePoint, como en una granja de servidores gestionada con este software.
- CVE-2020-4006.- Esta vulnerabilidad, específica de los productos WMware Workspace One Access, Access Connector, Identity Manager e Identity Manager Connector, permitiría a un posible atacante tomar el control completo del sistema infectado, empleando para ello el puerto 8443 y las credenciales de administrador. Algunos de los parches que se han desarrollador para paliar este problema de seguridad están siendo implementados en la actualidad por lo que muchas de las instalaciones que ahora mismo están activas siguen siendo vulnerables a esta amenaza.
- CVE-2018-7600.- Esta vulnerabilidad, que fue denominada como Drupalgeddon 2, en alusión a otra vulnerabilidad detectada en el core del CMS Drupal del año 2014, permitiría la ejecución de código remoto en esta herramienta para la gestión de contenidos, viéndose comprometida la integridad del servidor y todos los datos gestionados por la herramienta. Aunque el parche para esta crítica vulnerabilidad en Drupal, una de las más graves detectadas en esta herramienta, fue publicado inmediatamente, la falta de mantenimiento de muchos sitios que son gestionados con ella permite a muchos amigos de lo ajeno seguir explotando servidores que emplean este software.
- CVE-2019-19781.- Vulnerabilidad de los productos de CITRIX Application Delivery Controller (ADC, conocido como NetScaler ADC) y Citrix Gateway (conocido como NetScaler Gateway) que permitiría a un posible atacante la ejecución de código remoto tipo ransomware para el espionaje de los sistemas infectados.
Como podemos apreciar, las tres últimas vulnerabilidades más explotadas durante este año 2020 han sido de ejecución de código remoto, en lo cual tiene mucho que ver el cambio de paradigma actual, en el que un buen número de trabajadores realizan su labor fuera de las oficinas, potenciado como consecuencia de la pandemia producida por la COVID-19.
Que el 2021 nos traiga mucha seguridad.
Añadir nuevo comentario