En Internet, todo lo viejo vuelve a ser aprovechable
Compartir
Mantenerse al día con el flujo constante de revelaciones de vulnerabilidades y noticias de exploits de día cero es una tarea de Sísifo que ni siquiera los equipos de seguridad con más recursos pueden asumir de forma realista. Y aunque los nuevos y relucientes bugs atraen la atención y los clics, los nuevos datos sobre la actividad de explotación masiva muestran que muchos atacantes se centran en vulnerabilidades más antiguas y conocidas -muchas de ellas con más de cinco años de antigüedad- de forma constante, y tienen mucho éxito.
En su nuevo Informe de Explotación Masiva de Internet, nuestros amigos de GreyNoise descubrieron que las vulnerabilidades heredadas fueron uno de los objetivos más frecuentes de los atacantes en 2024, representando una parte significativa de la actividad de explotación observada contra los CVE el año pasado. Muchos de esos fallos heredados son de 2016 o incluso anteriores, un dato que coincide con lo que muchos investigadores y defensores de la seguridad ya creen: Los fallos antiguos pueden ser tan molestos como los nuevos.
Usemos CVE-2017-9841 como ejemplo. Se trata de un fallo de ejecución remota de código bastante simple y fácil de explotar en el marco de pruebas PHPUnit que lleva varios años siendo público. Las actualizaciones para solucionarlo han estado disponibles durante siete años y, sin embargo, los intentos de explotación contra esta vulnerabilidad continúan sin cesar.
"A pesar de ser una vulnerabilidad de hace 7 años, el RCE de PHPUnit (CVE-2017-9841) sigue siendo explotado activamente en 2024, ya que sólo requiere una solicitud HTTP POST básica para ejecutar código PHP arbitrario, lo que lo hace ideal para ataques automatizados. Su presencia en aplicaciones muy utilizadas, como plugins de WordPress, módulos de Drupal y Moodle, le confiere una enorme presencia en Internet. La persistencia de la vulnerabilidad se amplifica aún más por su integración en cadenas de ataque modernas, en particular a través del malware Androxgh0st, que combina este exploit heredado con vulnerabilidades más recientes como CVE-2024-4577", explica el informe de GreyNoise.
La sencillez y la eficacia son propiedades muy deseables para los exploits, y cuando la vulnerabilidad objetivo ha sido pública durante tanto tiempo, los atacantes han tenido muchas oportunidades de perfeccionar sus técnicas. Con esto en mente, no es una sorpresa que los dos CVE más atacados sean de 2014 y 2018, respectivamente: CVE-2014-8361, el fallo UPnP de Realtek Miniigd, y CVE-2018-10561, el gusano del router GPON.
"Mientras que un whisky escocés de malta bien elaborado puede mejorar con la edad, no puede decirse lo mismo de los CVE. El 40% de los CVE explotados observados en 2024 se publicaron en 2020 o antes, y aproximadamente el 10% en 2016 o antes, con CVE-1999-0526 anclado permanentemente en casi todas las parcelas de linaje temporal de CVE en 1997. Y algo más del 13% de los CVE con actividad en 2024 se publicaron en 2024", señala el informe.
"Los actores de las amenazas siguen aprovechando con éxito las vulnerabilidades "antiguas", probablemente porque saben que muchas organizaciones tienen problemas con los programas integrales de gestión de vulnerabilidades. La continua explotación de CVEs de hace décadas sugiere que "parchear lo nuevo" es una estrategia fallida, y que un inventario de activos adecuado, la gestión de la configuración y la corrección sistemática de vulnerabilidades deben ser componentes básicos de cualquier programa de ciberseguridad."
Si bien estos fallos antiguos siguen atrayendo la atención de los atacantes, los datos de GreyNoise revelan que los adversarios tampoco se cortan a la hora de explotar nuevas vulnerabilidades, especialmente en los dispositivos de seguridad periférica. Como escribimos el mes pasado, los dispositivos de seguridad periférica se han convertido en un objetivo importante para muchos adversarios, con los productos Connect Secure y Pulse Secure de Ivanti como ejemplos clave.
"El historial de Ivanti en 2024 muestra un patrón preocupante de vulnerabilidades críticas en toda su cartera de productos, con múltiples casos de exploits de día cero descubiertos antes de que los parches estuvieran disponibles. Los productos de seguridad y VPN de la empresa han sido blanco de ciberdelincuentes y agentes estatales, lo que ha provocado ataques a agencias gubernamentales, contratistas de defensa y empresas de la lista Fortune 500", afirma GreyNoise en el informe.
La explotación de vulnerabilidades ya no es una mera cuestión de acierto o error. Los ciberdelincuentes y los equipos de APT realizan ahora explotaciones a gran escala, y el volumen de esta actividad no hará sino aumentar. Los defensores de las empresas deben dar prioridad a la aplicación de parches a las vulnerabilidades divulgadas públicamente lo antes posible, sin olvidar tampoco las antiguas y conocidas.
