El 50% de los servidores tienen una seguridad débil mucho después de la publicación de los parches



Muchas organizaciones se demoran en parchear vulnerabilidades de alta gravedad, según un nuevo estudio que revela que más del 50% de los servidores analizados tienen una postura de seguridad débil semanas y meses después del lanzamiento de una actualización de seguridad.

Para crear el «Informe de telemetría 2021 Trustwave SpiderLabs», los investigadores utilizaron Shodan, información sobre exploits disponible públicamente y análisis no intrusivos de objetivos vulnerables accesibles en Web. Descubrieron que muchos servidores no estaban parcheados de manera oportuna, ejecutaban software no appropriate y usaban protocolos más antiguos y herramientas de acceso remoto en servidores accesibles en la Internet.

Se informaron alrededor de 18,352 nuevas fallas de seguridad en 2020, un aumento del 6% con respecto a 2019 y un aumento del 184.66% con respecto a 2016, señalan los investigadores en el informe. Este año, se han reportado alrededor de 13,000 vulnerabilidades al 1 de septiembre, un poco más de las 12,360 reportadas en este momento en 2020. De estas, el 20% se clasificó como de alta gravedad.

Karl Sigler, director senior de investigación de seguridad de Trustwave SpiderLabs, señala algunas razones por las que la cantidad de vulnerabilidades reveladas tiene una tendencia al alza. Para empezar, dice, más investigadores están investigando herramientas y servicios, probando sus defensas para encontrar las brechas de seguridad. Pero también se está adoptando una proliferación de nuevas tecnologías, todas las cuales tienen fallas.

«Hay un gran cambio en la forma en que se utiliza la tecnología», dice. «Hay muchos más servicios de cara al público, especialmente para el trabajo desde casa debido a la pandemia y muchos otros factores … Creo que las organizaciones se están volviendo más dispares a nivel mundial, hay más trabajo desde casa y la expansión del base de empleados, que también expondrá una gran cantidad de servicios «.

Los entornos empresariales también están creciendo. Las organizaciones son cada vez más grandes y los sistemas y servicios que utilizan y ofrecen a los empleados y clientes son cada vez más complejos.

«No es solo una base de datos de entrance-finish y back-finish hay todo tipo de sistemas diversos involucrados y, a menudo, otras organizaciones: servicios de terceros, servicios administrados, cosas así», agrega Sigler.

Toda esta complejidad hace que los entornos sean más difíciles de proteger, especialmente porque el número de vulnerabilidades reveladas sigue aumentando. Los investigadores pusieron el foco en un puñado de fallas de alta gravedad que aún afectan a miles de servidores, meses después del lanzamiento de sus parches.

Estos incluyen las vulnerabilidades de Microsoft Trade Server ProxyShell y ProxyToken, que podrían permitir que un atacante no autenticado ejecute código arbitrario en los servidores Trade en el puerto 443. Un análisis de facetas en Shodan revela que 35,943 servidores siguen siendo vulnerables a las fallas que componen ProxyShell (CVE-2021-34473, CVE-2021-31207 y CVE-2021-34523). Estados Unidos tiene más de 10.500 servidores Exchange vulnerables a ProxyShell, señalan los investigadores.

También están las fallas de ProxyLogon (CVE-2021-26855, CVE-2021-26858, CVE-2021-26857 y CVE-2021-27065), el tema de un aviso del 2 de marzo de Microsoft, que en ese momento decía que el múltiplo cero Un grupo llamado Hafnium utilizaba exploits diarios para atacar versiones locales de Microsoft Trade Server. Aproximadamente seis meses después, la investigación muestra que todavía hay 13.000 objetivos de ProxyLogon Exchange Server vulnerables de acceso público basados ​​en la telemetría de Shodan.

Los investigadores también destacaron las vulnerabilidades de VMware vCenter CVE-2021-21985 y CVE-2021-21986, que al parecer las organizaciones han priorizado para parchear. El porcentaje de hosts vulnerables cayó del 80,88% en mayo de 2021 al 48,95% en agosto, un parche de señal está en curso. De manera identical, la vulnerabilidad de inyección de comandos del NAS de QNAP CVE-2021-28800 se está parcheando, aunque lentamente. El porcentaje de hosts vulnerables ha disminuido aproximadamente un 1% cada semana.

Leer el reporte
para obtener una lista completa de los defectos de alta gravedad resaltados.

Por qué las organizaciones no parchean rápidamente
Sigler dice que no le sorprende el hallazgo de que el 50% de los servidores tienen una postura de seguridad débil. Parchear es difícil, señala, especialmente en entornos cada vez más complejos donde los activos se pueden perder fácilmente. Las organizaciones a menudo carecen de una enumeración adecuada de sus recursos y activos de purple, y hay una falta de pruebas de vulnerabilidad continuas para esos activos.

Para ilustrarlo, explica cuántas empresas en las que Trustwave realiza escaneos en crimson primero proporcionarán una lista codificada de las direcciones IP que creen que tienen. Cuando el equipo interviene y realiza la enumeración y el inventario adecuados, «encontramos tal vez el doble de la cantidad de activos que pensaban que tenían», dice Sigler. Esos activos que faltan son donde también faltan los parches.

«No están pasando por alto las vulnerabilidades no están al tanto de la situación y la dejan desatendida por lo basic, no conocen la situación en absoluto», agrega.

La expansión de los servidores es una gran parte de cómo se pasan por alto los sistemas, al igual que los sistemas virtuales. A veces, las personas muestran pequeñas instancias en un entorno virtual para realizar pruebas y se olvidan de eliminarlas, señala. Todas estas diversas piezas crean «agujeros en la pink» por donde las cosas inevitablemente se caen.

Estas razones contribuyen a por qué algunos sistemas, como VMware vCenter, tienen más parches, pero otros, como Microsoft Trade Server, todavía tienen miles de instancias vulnerables a fallas de alta gravedad. Otra razón, especula, es que algunos sistemas, como las instalaciones de VMware, son relativamente nuevos. Aunque VMware ha existido por un tiempo, muchas empresas ahora están considerando la posibilidad de desarrollar sus propios servicios en la nube para crear la flexibilidad que brindan.

Muchos administradores de estos sistemas son personas que trabajan con instalaciones más nuevas y están vigilando más de cerca cuándo necesitan ser parcheados. La misma organización podría tener un Microsoft Exchange Server que ha existido durante 10 años y es más possible que se pase por alto.

«Creo que eso realmente juega un papel importante: la atención que las organizaciones brindan a estos servicios», dice Sigler. «El servidor de correo de Exchange es una especie de ‘configúrelo y olvídese’, y se está olvidando. Pero los servicios en la nube y los servicios virtuales reciben mucha más atención internamente». Esto no es solo porque necesiten más atención, señala, sino porque ahora hay un mayor enfoque en ellos.

Los investigadores también notaron una gran cantidad de sistemas con software package de soporte al remaining de su vida útil y al closing de su vida útil common en Internet. Esto significa que no hay parches automáticos, y tal vez no hay parches manuales disponibles para ellos. A menudo indican que las organizaciones los crearon y se olvidaron de ellos, ya sea porque el particular fue despedido o por otras razones. Muchos de estos sistemas siguen expuestos a vulnerabilidades nuevas y antiguas, lo que probablemente los convierte en «la fruta más baja de este informe», dice Sigler.



Enlace a la noticia original