Cómo los ciberataques aprovechan las vulnerabilidades de seguridad conocidas


Sabiendo que muchas organizaciones no reparan fallas conocidas, los atacantes buscan continuamente agujeros de seguridad que puedan explotar, dice Barracuda.

cyberattack.jpg

Imagen: seksan Mongkhonkhamsao / Second / Getty Images

Una forma clave en la que los ciberdelincuentes comprometen a las organizaciones y los usuarios es explotando las vulnerabilidades de seguridad conocidas. A medida que se descubren nuevos defectos todo el tiempo, los piratas informáticos siempre tienen mucha carne fresca con la que pueden llevar a cabo ataques contra productos vulnerables.

VER: Política de respuesta a incidentes (TechRepublic High quality)

Por supuesto, una forma clave en que las organizaciones pueden protegerse es parcheando las vulnerabilidades de seguridad conocidas. Pero a menudo esa tarea se queda en el camino. Ya sea por falta de tiempo o de own o de recursos, muchas organizaciones no reparan las fallas de seguridad críticas antes de que sea demasiado tarde. Y ese fracaso es algo con lo que cuentan los criminales.

en un informe publicado el miércoles, el proveedor de seguridad Barracuda analizó cómo los atacantes buscan y explotan los agujeros de seguridad y cómo las organizaciones pueden protegerse mejor.

Para realizar su investigación, Barracuda analizó los datos de los ataques bloqueados por sus productos durante los últimos dos meses. La empresa descubrió cientos de miles de escaneos y ataques automatizados por día, y algunos de esos números diarios aumentaron a millones. Las vulnerabilidades recientes parcheadas por Microsoft y VMWare recogieron miles de escaneos por día.

Defectos de Microsoft

En marzo, Microsoft reveló que un grupo con sede en China llamado Hafnium llevó a cabo ataques contra organizaciones explotando cuatro vulnerabilidades de día cero en Exchange Server. En respuesta, Microsoft lanzó varias actualizaciones de seguridad para Exchange Server versiones 2013, 2016 y 2019, e instó a todas las organizaciones a parchear sus instalaciones de Trade locales lo más rápido posible.

Barracuda dijo que vio un aumento en los escaneos de estas fallas de Trade en marzo, lo cual tiene sentido dado que se hicieron públicas en ese momento. Sin embargo, la firma dijo que continúa observando escaneos regulares de estas vulnerabilidades en todo el mundo. Los escaneos aumentan de vez en cuando y luego disminuyen.

Defectos de VMWare

En otro incidente, este de febrero, VMWare se vio obligado a corregir fallas graves en su utilidad vCenter Server VMware que podrían haber permitido a los atacantes ejecutar código de forma remota en un servidor susceptible. Aunque los agujeros se repararon el 24 de febrero, Barracuda dijo que ve sondeos regulares para uno de los exploits con alguna caída ocasional en el escaneo. Aún así, la empresa espera alcanzar un repunte en estos escaneos a medida que los piratas informáticos continúen revisando una lista de vulnerabilidades críticas conocidas.

En ambos casos, los atacantes escanean regularmente vulnerabilidades incluso meses después de haber sido parcheadas. Lo hacen porque saben que muchas organizaciones no aplican los parches, incluso aquellos por fallas de seguridad críticas.

Ciberataques: cuándo y cómo

Los ciberdelincuentes confían en cierto método para su locura, trazando no solo cómo llevar a cabo sus ataques, sino cuándo. En su análisis, Barracuda descubrió que los bots automatizados suelen lanzar ataques durante un día laborable. La razón de esta estrategia es que los atacantes pueden sentir que pueden mezclarse más con la multitud durante un día de trabajo ajetreado en lugar de llamar más la atención sobre sí mismos durante un fin de semana.

Los atacantes que aprovechan las fallas de seguridad también recurren a tipos de ataques comunes. Pueden realizar reconocimientos para conocer el terreno antes de lanzar un ataque genuine. Es posible que adopten un enfoque difuso en el que arrojen datos a un sistema específico con la esperanza de encontrar vulnerabilidades específicas.

Cuando llega el momento de atacar, las campañas analizadas por Barracuda durante los últimos meses utilizaron algunas tácticas diferentes. La mayoría recurrió a los ataques de inyección de comandos del sistema operativo a través de los cuales los piratas informáticos ejecutan comandos arbitrarios en el sistema operativo como una forma de comprometer una aplicación susceptible. Otro método favorito fue el ataque de inyección SQL mediante el cual se inyectan sentencias SQL maliciosas a través de un formulario web u otra interfaz de cliente.

Cómo protegerse

Para proteger su organización contra la explotación de fallas de seguridad, Barracuda recomienda usar un firewall de aplicaciones website o un producto WAF-as-a-Company. También conocidos como servicios de protección de API y aplicaciones world-wide-web, estos tipos de productos consolidan diferentes componentes de seguridad en una sola herramienta. Como señaló Barracuda, Gartner ofrece una revisión de firewalls de aplicaciones internet con información sobre productos de Citrix, FortiWeb, AWS, Imperva, Azure, Barracuda y más.

«Las organizaciones deben buscar una solución WAF-as-a-Support o WAAP que incluya mitigación de bots, protección DDoS, seguridad API y protección de relleno de credenciales, y asegurarse de que esté configurada correctamente», dijo Barracuda en su informe.

Ver también



Enlace a la noticia unique