Pivots de purple, omisiones de parches: exploits golpeados con fuerza …



Un análisis de 50 vulnerabilidades encuentra un espectro de riesgo, desde vulnerabilidades generalizadas explotadas por una variedad de atacantes hasta problemas graves que probablemente serán explotados en 2021.

En 2020, los equipos de seguridad tuvieron que soportar una gran cantidad de caos, no solo por los eventos causados ​​por la pandemia, sino por una serie significativa de cambios en el panorama de la vulnerabilidad, según Swift7.

En su «Informe de inteligencia de vulnerabilidades de 2020», publicado hoy, la empresa de seguridad documentó 50 vulnerabilidades que representan cambios con los que los defensores tuvieron que lidiar. Catorce vulnerabilidades fueron explotadas por actores estatales y ciberdelincuentes en campañas indiscriminadas que afectaron a una amplia variedad de organizaciones, 16 vulnerabilidades fueron utilizadas en ataques dirigidos por actores sofisticados y 20 fallas aún no se han visto en la naturaleza, pero se espera que sean utilizadas. por atacantes en sus campañas.

La compañía profundiza en las amenazas para ofrecer a los defensores una mejor comprensión de lo que constituyeron vulnerabilidades peligrosas en 2020, dice Caitlin Condon, gerente de ingeniería de computer software de Quick7.

«Había un sentimiento generalizado en la comunidad de seguridad de la información, especialmente entre los defensores, de que el cielo se estaba cayendo casi todo el tiempo», dice. «A menudo es muy difícil para las personas a cargo de la seguridad mirar todos los materiales de investigación y todos los artefactos, toda la información sobre una vulnerabilidad, y determinar por qué una vulnerabilidad puede ser importante o no para su modelo de riesgo».

En el informe, Immediate7 descompone las amenazas en fallas que se explotan indiscriminadamente en ataques generalizados (28%), problemas de seguridad (a menudo, vulnerabilidades de día cero) utilizados en ataques dirigidos (32%) y vulnerabilidades que la empresa considera amenazas inminentes (40%) .

Entre las amenazas más graves se encontraban los ataques a la red y los dispositivos de seguridad que permitían al atacante pasar de fuera de la pink a la pink interna. Se descubrieron los llamados pivotes de purple en Citrix NetScaler, SonicWall SonicOS, Palo Alto Networks PAN-OS y Sophos XG Firewall.

«Para muchos defensores de la crimson, del 29 de junio al 29 de julio de 2020 fue un período particularmente de pesadilla de un año que ya period desafiante: no menos de cuatro vulnerabilidades CVSS 10 golpearon avisos, listas de correo y alertas de noticias durante este período, tres de las cuales ocurrieron en dos semanas de diferencia «, afirma Quick7 en el informe. «En cada uno de estos casos, la posición de entrada de los productos vulnerables amplificó la gravedad de las vulnerabilidades y profundizó el impacto de la explotación».

Las omisiones de parches también se convirtieron en un problema importante en 2020, que fue, según el informe de Fast7, «un año excepcional». Si bien las empresas suelen confiar en los proveedores de program para crear actualizaciones de seguridad que no solo solucionen el problema primary sino también los problemas relacionados, en 2020 se publicaron varios parches notablemente problemáticos.La compañía detalla nueve vulnerabilidades que tenían un parche incompleto que los atacantes capaz de evadir o que permitió a los atacantes utilizar un problema equivalent o relacionado para evitar el parche.

«En algunos casos, la complejidad de una vulnerabilidad puede hacer que las soluciones sean igualmente complejas para desarrollarse rápidamente y bien», afirma la compañía en el informe.

Esto coincide con una investigación anterior publicada en febrero, donde el equipo Undertaking Zero de Google encontró que nueve de las 24 vulnerabilidades de día cero detectadas en 2020 eran variantes de problemas previamente parcheados. Mientras que las empresas esperan que los parches solucionen una familia de vulnerabilidades, los atacantes ven los parches como una fuente de inteligencia, afirma Immediate7.

«Los atacantes funcionan con un principio rector completamente diferente, a saber, que el descubrimiento de un defecto significa que probablemente haya más esperando entre bastidores, con frecuencia en la misma función, protocolo o sección del código base del producto objetivo», dice la compañía. . «Sin embargo, no tiene sentido que los atacantes se esfuercen en buscar vulnerabilidades de día cero cuando pueden cambiar un solo carácter en un exploit por una vulnerabilidad parcheada y pasar el parche como si ni siquiera estuviera allí».

Las empresas deben evaluar las vulnerabilidades dentro del alcance de su propia infraestructura para determinar su perfil de riesgo, indica el informe. Una lección que los equipos de seguridad deben tomar en serio: esos temas de alto perfil cubiertos en los medios de comunicación no siempre son los defectos más peligrosos, dice Condon.

«No todas las vulnerabilidades de las que se habló mucho en 2020 fueron una amenaza genuine», dice. «Hubo un montón de vulnerabilidades que quizás pasaron desapercibidas y que eran amenazas inminentes más reales, por lo que es importante que las organizaciones comprendan dónde están sus componentes críticos».

Caso en cuestión: las vulnerabilidades en la tecnología operativa (OT) a menudo acumulaban una gran cantidad de tinta electronic, pero una variedad de factores a menudo reducían la amenaza real para las organizaciones. Por ejemplo, se descubrió que una de las vulnerabilidades «Ripple20 más graves» no period explotable, mientras que las vulnerabilidades graves de Amnesia: 33 solo podían explotarse en un conjunto muy reducido de circunstancias.

«Siempre que hay nuevas vulnerabilidades en las bibliotecas compartidas, el nivel de explotabilidad varía de un dispositivo a otro como puede imaginar, esto crea bastante confusión y agrega otra capa de complejidad al ya complejo espacio de vulnerabilidades industriales», afirmó Immediate7. «Gestionar el riesgo es difícil, si no imposible, sin una comprensión del área de superficie de ataque introducida por los dispositivos OT».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Looking through, MIT&#39s Technology Critique, Well known Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary