20 vulnerabilidades para priorizar parches antes de 2020



Los investigadores enumeran las 20 vulnerabilidades principales actualmente explotadas por los grupos de ataque en todo el mundo.

Es un desafío continuo para los profesionales de la seguridad: desea mantener todos los sistemas actualizados y seguros, pero los recursos limitados, los sistemas heredados y los procesos lentos de parche lo detienen.

Para ayudar en la estrategia de gestión de parches, los investigadores del Grupo de Inteligencia de Amenazas Cibernéticas (CTI) de Verint analizado Las 20 principales vulnerabilidades actualmente explotadas por los grupos de ataque international. El cuarenta y cinco por ciento afecta a los productos de Microsoft, y algunos errores utilizados en ataques exitosos datan de 2012.

La Base de datos de vulnerabilidad nacional (NVD) informa que se revelaron 16,514 vulnerabilidades en 2018, lo que indica un promedio de aproximadamente 45 nuevos errores por día. Muestra de datos adicionales casi 60% De todos los defectos se clasifican como críticos o de alta gravedad, explican los investigadores de Verint en una publicación de weblog. Además, el 60% de las infracciones son vinculado a un error para el cual había un parche disponible pero no aplicado.

Cada CVE recibe una puntuación de gravedad, aunque estos números no siempre representan el riesgo que presenta un error. Considere CVE-2018-20250, un mistake de WinRAR con un puntaje foundation de CVSS de 7.8 en NVD («Alto») y 6.8 en Detalles de CVE («Medio»). Según sus puntajes, la vulnerabilidad puede no merecer un parche inmediato, pero Verint señala que ha sido explotada por al menos cinco grupos APT, desde diferentes lugares, en ataques contra el Reino Unido, el sudeste asiático, Europa y Medio Oriente.

Los investigadores analizaron más de 5,300 fuentes y otras fuentes de inteligencia de amenazas en los últimos dos años y medio, cubriendo al menos 800 CVE. Su lista de 20 vulnerabilidades para priorizar parches se basa en la cantidad de veces que han sido explotadas por grupos de amenazas avanzados.

La parte excellent de la lista es CVE-2017-11882, una vulnerabilidad de corrupción de memoria de Microsoft Place of work que existió durante 17 años antes de ser parcheada en noviembre de 2017. La falla existe en Business cuando el software no maneja adecuadamente los objetos en la memoria si se explota, podría permitir que un atacante ejecute código arbitrario en el contexto del usuario. Un straightforward ataque de phishing podría hacerlo: las víctimas solo tendrían que abrir un archivo infectado con una versión vulnerable de Microsoft Term o WordPad.

Esta falla fue el vector de entrega de malware favorito en el segundo y tercer trimestre de 2019. Como señala Verint en su informe, también ha sido utilizado en ataques por grupos avanzados, incluidos APT32 (Vietnam), APT34 (Irán), APT40 (China) , APT-C-35 (India), Cobalt Group (España, Ucrania), Silent Team (Rusia), Lotus Blossom (China), Cloud Atlas (Desconocido) y FIN7 (Rusia).

El segundo en la lista de Verint es CVE-2018-8174, una vulnerabilidad crítica que afecta a todas las versiones de Home windows. Esta es una vulnerabilidad RCE del motor VBScript que existe en la forma en que el motor VBScript maneja los objetos en la memoria. El mistake, denominado Double Kill, apareció en el package de explotación RIG en mayo de 2018. Ha sido utilizado por Silent Team (Rusia) y Dim Lodge (Corea del Norte).

CVE-2017-0199, un defecto crítico de RCE en la interfaz de programación de vinculación e incrustación de objetos de Home windows (OLE), es el tercero. La vulnerabilidad, que afecta a la mayoría o todas las versiones de Microsoft Word, había estado bajo ataque durante meses cuando se lanzó un parche en abril de 2017. Verint dice que ha sido utilizado por grupos que incluyen APT34 (Irán), APT40 (China), APT-C -35 (India), Cobalt Team (España, Ucrania), APT37 (Corea del Norte), Silent Team (Rusia), Gorgon Team (Pakistán) y Gaza Cybergang (Irán).

El cuarto es CVE-2018-4878, una vulnerabilidad crítica en Adobe Flash Player. El día cero se estaba utilizando en ataques activos contra víctimas en Corea del Sur cuando se informó en febrero de 2018. Más tarde, ese mismo mes, apareció en otra campaña aprovechando archivos maliciosos de Term. Verint informa que la falla ha sido utilizada en campañas por los grupos norcoreanos APT37 y Lazarus Group.

CVE-2017-10271, un error en el componente del servidor Oracle WebLogic de Oracle Fusion Middleware, figura en quinto lugar. La vulnerabilidad «fácilmente explotable», como CVE Particulars explain podría permitir que un atacante no autenticado con acceso a la purple a través de T3 comprometa el servidor Oracle WebLogic y potencialmente se haga cargo del servidor WebLogic. Este mistake ha sido utilizado por Rocke Gang, un grupo prison chino, informa Verint.

Lee la lista completa aquí.

Contenido relacionado:

Kelly Sheridan es la Editora de particular de Dark Studying, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance & Engineering, donde cubrió asuntos financieros … Ver biografía completa

Más ideas





Enlace a la noticia primary