2021 Principales vulnerabilidades explotadas rutinariamente
Resumen
Este Asesoramiento conjunto de Ciberseguridad (CSA) fue coescrito por las autoridades de ciberseguridad de los Estados Unidos, Australia, Canadá, Nueva Zelanda y el Reino Unido: la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), la Agencia de Seguridad Nacional (NSA), la Oficina Federal de Investigaciones (FBI), el Centro Australiano de Seguridad Cibernética (ACSC), el Centro Canadiense de Seguridad Cibernética (CCCS), el Centro Nacional de Seguridad Cibernética de Nueva Zelanda (NZ NCSC) y el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC-UK). Este aviso proporciona detalles sobre las 15 principales vulnerabilidades y exposiciones comunes (CVE) explotadas rutinariamente por actores cibernéticos maliciosos en 2021, así como otras CVE explotadas con frecuencia.
Las autoridades de ciberseguridad de Estados Unidos, Australia, Canadá, Nueva Zelanda y el Reino Unido evalúan, en 2021, que los actores cibernéticos maliciosos atacaron agresivamente las vulnerabilidades críticas de software recientemente divulgadas contra amplios conjuntos de objetivos, incluidas organizaciones del sector público y privado en todo el mundo. En menor medida, los ciberactores maliciosos continuaron explotando vulnerabilidades de software conocidas públicamente y anticuadas en un amplio espectro de objetivos.
Las autoridades de ciberseguridad alientan a las organizaciones a aplicar las recomendaciones en la sección Mitigaciones de esta CSA. Estas mitigaciones incluyen la aplicación oportuna de parches a los sistemas y la implementación de un sistema centralizado de administración de parches para reducir el riesgo de compromiso por parte de actores cibernéticos maliciosos.
Haga clic aquí para obtener una versión en PDF de este informe.
Técnicas
Principales conclusiones
A nivel mundial, en 2021, los actores cibernéticos maliciosos atacaron los sistemas orientados a Internet, como los servidores de correo electrónico y los servidores de redes privadas virtuales (VPN), con exploits de vulnerabilidades recientemente reveladas. Para la mayoría de las vulnerabilidades más explotadas, los investigadores u otros actores publicaron código de prueba de concepto (POC) dentro de las dos semanas posteriores a la divulgación de la vulnerabilidad, lo que probablemente facilite la explotación por parte de una gama más amplia de actores maliciosos.
En menor medida, los actores cibernéticos maliciosos continuaron explotando vulnerabilidades de software conocidas públicamente y anticuadas, algunas de las cuales también se explotaron rutinariamente en 2020 o antes. La explotación de vulnerabilidades más antiguas demuestra el riesgo continuo para las organizaciones que no pueden parchear el software de manera oportuna o están utilizando software que ya no es compatible con un proveedor.
Las 15 principales vulnerabilidades explotadas rutinariamente
La Tabla 1 muestra las 15 principales vulnerabilidades que las autoridades de ciberseguridad de Estados Unidos, Australia, Canadá, Nueva Zelanda y el Reino Unido observaron que los actores maliciosos explotaban rutinariamente en 2021, que incluyen:
- CVE-2021-44228. Esta vulnerabilidad, conocida como Log4Shell, afecta a la biblioteca Log4j de Apache, un marco de registro de código abierto. Un actor puede aprovechar esta vulnerabilidad enviando una solicitud especialmente diseñada a un sistema vulnerable que hace que ese sistema ejecute código arbitrario. La solicitud permite a un actor cibernético tomar el control total sobre el sistema. El actor puede robar información, lanzar ransomware o realizar otra actividad maliciosa. [1] Log4j se incorpora a miles de productos en todo el mundo. Esta vulnerabilidad se reveló en diciembre de 2021; la rápida explotación generalizada de esta vulnerabilidad demuestra la capacidad de los actores malintencionados para convertir rápidamente en armas las vulnerabilidades conocidas y atacar a las organizaciones antes de que parcheen.
- CVE-2021-26855, CVE-2021-26858, CVE-2021-26857, CVE-2021-27065. Estas vulnerabilidades, conocidas como ProxyLogon, afectan a los servidores de correo electrónico de Microsoft Exchange. La explotación exitosa de estas vulnerabilidades en combinación (es decir, "encadenamiento de vulnerabilidades") permite a un actor cibernético no autenticado ejecutar código arbitrario en servidores Exchange vulnerables, lo que, a su vez, permite al actor obtener acceso persistente a archivos y buzones en los servidores, así como a las credenciales almacenadas en los servidores. La explotación exitosa también puede permitir que el actor cibernético comprometa la confianza y la identidad en una red vulnerable.
- CVE-2021-34523, CVE-2021-34473, CVE-2021-31207. Estas vulnerabilidades, conocidas como ProxyShell, también afectan a los servidores de correo electrónico de Microsoft Exchange. La explotación exitosa de estas vulnerabilidades en combinación permite a un actor remoto ejecutar código arbitrario. Estas vulnerabilidades residen en el Servicio de acceso de cliente (CAS) de Microsoft, que normalmente se ejecuta en el puerto 443 de Microsoft Internet Information Services (IIS) (por ejemplo, el servidor web de Microsoft). CAS está comúnmente expuesto a Internet para permitir a los usuarios acceder a su correo electrónico a través de dispositivos móviles y navegadores web.
- CVE-2021-26084. Esta vulnerabilidad, que afecta a Atlassian Confluence Server y Data Center, podría permitir que un actor no autenticado ejecute código arbitrario en sistemas vulnerables. Esta vulnerabilidad se convirtió rápidamente en una de las vulnerabilidades más explotadas rutinariamente después de que se lanzó un POC dentro de una semana de su divulgación. El intento de explotación masiva de esta vulnerabilidad se observó en septiembre de 2021.
Tres de las 15 principales vulnerabilidades explotadas habitualmente también se explotaron de forma rutinaria en 2020: CVE-2020-1472, CVE-2018-13379 y CVE-2019-11510. Su explotación continua indica que muchas organizaciones no parchean el software de manera oportuna y siguen siendo vulnerables a los actores cibernéticos maliciosos.
Tabla 1: Las 15 principales vulnerabilidades explotadas habitualmente en 2021
CVE | Nombre de la vulnerabilidad | Proveedor y producto | Tipo |
Log4Shell | Apache Log4j | Ejecución remota de código (RCE) | |
| Zoho ManageEngine AD SelfService Plus | RCE | |
ProxyShell | Servidor de Microsoft Exchange | Elevación de privilegios | |
ProxyShell | Servidor de Microsoft Exchange | RCE | |
ProxyShell | Servidor de Microsoft Exchange | Derivación de la característica de seguridad | |
ProxyLogon | Servidor de Microsoft Exchange | RCE | |
ProxyLogon | Servidor de Microsoft Exchange | RCE | |
ProxyLogon | Servidor de Microsoft Exchange | RCE | |
ProxyLogon | Servidor de Microsoft Exchange | RCE | |
|
| Servidor y centro de datos de Atlassian Confluence | Ejecución de código arbitrario |
| VMware vSphere Client | RCE | |
ZeroLogon | Protocolo remoto de Microsoft Netlogon (MS-NRPC) | Elevación de privilegios | |
| Servidor de Microsoft Exchange | RCE | |
| Pulse Secure Pulse Connect Secure | Lectura arbitraria de archivos | |
| Fortinet FortiOS y FortiProxy | Recorrido por el camino |
Vulnerabilidades adicionales explotadas habitualmente
Además de las 15 vulnerabilidades enumeradas en la tabla 1, las autoridades de ciberseguridad de Estados Unidos, Australia, Canadá, Nueva Zelanda y el Reino Unido identificaron vulnerabilidades, enumeradas en la tabla 2, que también fueron explotadas rutinariamente por actores cibernéticos maliciosos en 2021.
Estas vulnerabilidades incluyen múltiples vulnerabilidades que afectan a los sistemas orientados a Internet, como Accellion File Transfer Appliance (FTA), Windows Print Spooler y Pulse Secure Pulse Connect Secure. Tres de estas vulnerabilidades también se explotaron de forma rutinaria en 2020: CVE-2019-19781, CVE-2019-18935 y CVE-2017-11882.
Tabla 2: Vulnerabilidades adicionales explotadas habitualmente en 2021
CVE | Proveedor y producto | Tipo |
Sitecore XP | RCE | |
Servidor ForgeRock OpenAM | RCE | |
TLC de Accellion | Ejecución de comandos del sistema operativo | |
TLC de Accellion | Falsificación de solicitudes del lado del servidor | |
TLC de Accellion | Ejecución de comandos del sistema operativo | |
TLC de Accellion | Inyección SQL | |
VMware vCenter Server | RCE | |
Acceso móvil seguro (SMA) de SonicWall | RCE | |
Microsoft MSHTML | RCE | |
Microsoft Windows Print Spooler | RCE | |
Sudo | Privilege escalation | |
Checkbox Survey | Remote arbitrary code execution | |
Pulse Secure Pulse Connect Secure | Remote arbitrary code execution | |
SonicWall SSLVPN SMA100 | Improper SQL command neutralization, allowing for credential access | |
Windows Print Spooler | RCE | |
QNAP QTS and QuTS hero | Remote arbitrary code execution | |
Citrix Application Delivery Controller (ADC) and Gateway | Arbitrary code execution | |
Progress Telerik UI for ASP.NET AJAX | Code execution | |
Cisco IOS Software and IOS XE Software | Remote arbitrary code execution | |
Microsoft Office | RCE | |
Microsoft Office | RCE |
Mitigations
Vulnerability and Configuration Management
- Update software, operating systems, applications, and firmware on IT network assets in a timely manner. Prioritize patching known exploited vulnerabilities, especially those CVEs identified in this CSA, and then critical and high vulnerabilities that allow for remote code execution or denial-of-service on internet-facing equipment. For patch information on CVEs identified in this CSA, refer to the appendix.
- If a patch for a known exploited or critical vulnerability cannot be quickly applied, implement vendor-approved workarounds.
- Use a centralized patch management system.
- Replace end-of-life software, i.e., software that is no longer supported by the vendor. For example, Accellion FTA was retired in April 2021.
- Organizations that are unable to perform rapid scanning and patching of internet-facing systems should consider moving these services to mature, reputable cloud service providers (CSPs) or other managed service providers (MSPs). Reputable MSPs can patch applications—such as webmail, file storage, file sharing, and chat and other employee collaboration tools—for their customers. However, as MSPs and CSPs expand their client organization's attack surface and may introduce unanticipated risks, organizations should proactively collaborate with their MSPs and CSPs to jointly reduce that risk. For more information and guidance, see the following resources.
Identity and Access Management
- Enforce multifactor authentication (MFA) for all users, without exception.
- Enforce MFA on all VPN connections. If MFA is unavailable, require employees engaging in remote work to use strong passwords.
- Regularly review, validate, or remove privileged accounts (annually at a minimum).
- Configure access control under the concept of least privilege principle.
- Ensure software service accounts only provide necessary permissions (least privilege) to perform intended functions (non-administrative privileges).
Note: see CISA Capacity Enhancement Guide – Implementing Strong Authentication and ACSC guidance on Implementing Multi-Factor Authentication for more information on hardening authentication systems.
Protective Controls and Architecture
- Properly configure and secure internet-facing network devices, disable unused or unnecessary network ports and protocols, encrypt network traffic, and disable unused network services and devices.
- Harden commonly exploited enterprise network services, including Link-Local Multicast Name Resolution (LLMNR) protocol, Remote Desktop Protocol (RDP), Common Internet File System (CIFS), Active Directory, and OpenLDAP.
- Manage Windows Key Distribution Center (KDC) accounts (e.g., KRBTGT) to minimize Golden Ticket attacks and Kerberoasting.
- Strictly control the use of native scripting applications, such as command-line, PowerShell, WinRM, Windows Management Instrumentation (WMI), and Distributed Component Object Model (DCOM).
- Segment networks to limit or block lateral movement by controlling access to applications, devices, and databases. Use private virtual local area networks.
- Continuously monitor the attack surface and investigate abnormal activity that may indicate lateral movement of a threat actor or malware.
- Use security tools, such as endpoint detection and response (EDR) and security information and event management (SIEM) tools. Consider using an information technology asset management (ITAM) solution to ensure your EDR, SIEM, vulnerability scanner etc., are reporting the same number of assets.
- Monitor the environment for potentially unwanted programs.
- Reduce third-party applications and unique system/application builds; provide exceptions only if required to support business critical functions.
- Implement application allowlisting.
Resources
- For the top vulnerabilities exploited in 2020, see joint CSA Top Routinely Exploited Vulnerabilities
- For the top exploited vulnerabilities 2016 through 2019, see joint CSA Top 10 Routinely Exploited Vulnerabilities.
- See the appendix for additional partner resources on the vulnerabilities mentioned in this CSA.
Disclaimer
The information in this report is being provided “as is” for informational purposes only. CISA, the FBI, NSA, ACSC, CCCS, NZ NCSC, and NCSC-UK do not endorse any commercial product or service, including any subjects of analysis. Any reference to specific commercial products, processes, or services by service mark, trademark, manufacturer, or otherwise, does not constitute or imply endorsement, recommendation, or favoring.
Purpose
This document was developed by U.S., Australian, Canadian, New Zealand, and UK cybersecurity authorities in furtherance of their respective cybersecurity missions, including their responsibilities to develop and issue cybersecurity specifications and mitigations.
References
[1] CISA’s Apache Log4j Vulnerability Guidance
Appendix: Patch Information and Additional Resources for Top Exploited Vulnerabilities
Información de contacto
Organizaciones estadounidenses: todas las organizaciones deben reportar incidentes y actividades anómalas al Centro de Operaciones CISA 24/7 en report@cisa.gov o (888) 282-0870 y / o al FBI a través de su oficina local del FBI o el CyWatch 24/7 del FBI al (855) 292-3937 o CyWatch@fbi.gov. Cuando esté disponible, incluya la siguiente información sobre el incidente: fecha, hora y lugar del incidente; tipo de actividad; número de personas afectadas; tipo de equipo utilizado para la actividad; el nombre de la empresa u organización que presenta la solicitud; y un punto de contacto designado. Para los requisitos de los clientes de la NSA o consultas generales de ciberseguridad, comuníquese con Cybersecurity_Requests@nsa.gov Organizaciones australianas: visite cyber.gov.au o llame al 1300 292 371 (1300 CYBER 1) para informar incidentes de ciberseguridad y acceder a alertas y avisos. Organizaciones canadienses: reporte incidentes enviando un correo electrónico a CCCS a contact@cyber.gc.ca Organizaciones de Nueva Zelanda: reporte incidentes de seguridad cibernética a incidents@ncsc.govt.nz o llame al 04 498 7654. Organizaciones del Reino Unido: reporten un incidente significativo de seguridad cibernética: ncsc.gov.uk/report-an-incident (monitoreado las 24 horas) o, para asistencia urgente, llame al 03000 200 973.
Fuente: CISA
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios