Los atacantes tardaron 5 minutos en comenzar a buscar …



La investigación subraya la aceleración de la actividad de ataque y apunta a una creciente preocupación de que los defensores no pueden seguir el ritmo.

Los delincuentes comenzaron a escanear Internet en busca de servidores Microsoft Exchange vulnerables dentro de los cinco minutos posteriores a la divulgación de fallas críticas de día cero parcheadas a principios de marzo, informan los investigadores.

En el «2021 Cortex Xpanse Attack Surface Threat Report», los investigadores de Palo Alto Networks examinan los datos de amenazas de 50 organizaciones y unos 50 millones de direcciones IP, recopilados en el primer trimestre. Su análisis revela que los atacantes escanean para inventariar los activos vulnerables de World-wide-web una vez por hora e incluso con más frecuencia, dentro de los 15 minutos o menos, luego de la divulgación de los CVE.

«Cuando se publica un exploit, el tiempo desde entonces hasta que comenzamos a ver un aumento en el volumen de escaneo de seguimiento es ahora de solo minutos», dice Tim Junio, vicepresidente senior de productos para Cortex en Palo Alto Networks. «Ese es un gran cambio con respecto a hace unos años».

Cinco minutos después de que Microsoft revelara las vulnerabilidades de Trade Server, Junio ​​dice que personas de todo el mundo estaban buscando servidores expuestos. Hay varios factores que funcionan a favor de los atacantes, como el costo: el informe señala que los delincuentes solo necesitarían alrededor de $ 10 para alquilar la potencia de computación en la nube que necesitan para un «escaneo impreciso» de sistemas vulnerables.

La facilidad de escaneo de sistemas vulnerables también ha impulsado un aumento tanto de analistas como de delincuentes que escanean vulnerabilidades e infraestructura. Para identificar nuevas víctimas, los escáneres solo necesitan un objetivo, generalmente una lista de IP o una falla en specific, señalan los investigadores. Junio ​​reconoce que algunos de estos análisis podrían ser investigadores de seguridad legítimos, aunque probablemente no todos. En los últimos cinco años, los atacantes han perfeccionado técnicas que escalan a gran velocidad, afirma el informe.

La respuesta relativamente lenta de las organizaciones también les da una ventaja. Las empresas globales necesitan un promedio de 12 horas para detectar sistemas vulnerables, informan los investigadores, y esto supone que las empresas conocen todos los activos de su pink. Los más rápidos repararon los servidores Exchange vulnerables en cuestión de días, señala Junio, pero muchas grandes empresas tardaron semanas en hacerlo.

«Eso es realmente difícil de hacer si no tiene un inventario actualizado de todo lo que se está ejecutando en su red», dice, y agrega que muchas organizaciones no tienen una lista completa.

Junio ​​cree que la rápida respuesta de los atacantes a las fallas de Trade Server no es un evento único sino parte de una tendencia creciente. A medida que los investigadores analizaban los datos para este informe, notaron que los escaneos comienzan dentro de los 15 minutos posteriores a la divulgación de fallas en otros productos orientados a Web, dice.

Aunque todas estas divulgaciones fueron bastante recientes, Junio ​​advierte que los atacantes se aprovechan de las viejas fallas, ya que saben que algunas empresas no parchearán. Utiliza Conficker, una amenaza detectada por primera vez en 2008, como ejemplo de una que se sigue detectando en las máquinas objetivo. El gusano se propaga a través de medios extraíbles, unidades de crimson y apunta a CVE-2008-4250, una vulnerabilidad en el servicio del servidor en versiones heredadas de Windows como Home windows 2000, Server 2002 y Server 2008.

«Si ingresa a un entorno, desea probar todas estas opciones antiguas porque existe una gran posibilidad de que algunas de ellas aún funcionen», dice. «Para que eso se limpie de manera efectiva, debe tener una buena segmentación y defensa de la red en profundidad, y debe tener un excelente programa de administración de parches». Todos ellos forman un «mosaico extremadamente complicado de lo que es la TI empresarial».

Los investigadores encontraron Las empresas globales encontraron nuevas vulnerabilidades graves cada 12 horas. Estos incluyeron acceso remoto inseguro a través de RDP, Telnet, SNMP, VNC y otros servidores de bases de datos y exposición a fallas de día cero en productos como Exchange Server. Esto no significa que todos los problemas se convertirán en una infracción grave, dice Junio, pero sí significa que hay ventanas para que un atacante de escaneo encuentre su camino.

RDP sigue poniendo en riesgo a las empresas

El Protocolo de escritorio remoto (RDP), cuyo uso se ha disparado durante el último año, representó el 32% de los problemas de seguridad examinados por los investigadores. El análisis reveló un escaneo frecuente para el puerto 3389, reservado para RDP, y el equipo de respuesta de la Unidad 42 de Palo Alto Networks ha observado que este escaneo a menudo es seguido por credenciales de fuerza bruta o herramientas básicas de pirateo de credenciales.

«La gravedad de lo que podría suceder si tiene un host RDP comprometido es un rango bastante amplio», dice Junio. Un host comprometido podría convertirse en parte de una botnet, por ejemplo, o si un atacante se dirige específicamente a un host, podría ser un punto de entrada para una mayor escalada o ransomware. Los investigadores señalan que RDP se encuentra entre las puertas de enlace más comunes para el ransomware.

Es común ver organizaciones con una política que establece que el RDP no debería estar en la Internet pública, pero lo es. A veces, esto sucede porque los dispositivos de los empleados no están configurados correctamente, agrega. En otros casos, es difícil diferenciar lo que es público y privado del punto de vista de alguien en DevOps que trabaja en la infraestructura de la nube.

«No es tan fácil como &#39estos están conectados a Online y son privados&#39», explica. «Los productos de computer software no están realmente diseñados de esa manera». Es posible que RDP esté permitido para aplicaciones de World wide web y es posible que las organizaciones no sepan que en realidad son públicas.

Los investigadores aconsejan a las organizaciones que creen un sistema de registro para rastrear todos los activos, sistemas y servicios que poseen y que se encuentran en la Online pública, incluidos los principales proveedores de servicios en la nube y el espacio ISP comercial y residencial. También recomiendan utilizar un protocolo de enlace completo para verificar los detalles sobre un servicio específico que se ejecuta en una dirección IP determinada.

Kelly Sheridan es la editora de particular de Dark Studying, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first