Los actores de amenazas suelen seguir patrones en momentos específicos, lo que permite a los investigadores de seguridad identificar los vectores de ataque más populares. Un reporte de la Agencia de Seguridad Nacional de E.U. detalla las 25 fallas de seguridad más buscadas y explotadas en la actualidad, principalmente por grupos de hacking procedentes de China.
Los investigadores aseguran que estas fallas han sido ampliamente documentadas y cuentan con parches para su corrección, aunque en ocasiones los administradores no actualizan sus sistemas, facilitando el trabajo de los hackers.
Según la NSA, la mayoría de estas fallas vulnerabilidades podrían ser explotadas para obtener acceso inicial a las redes atacadas utilizando productos a los que se puede acceder directamente desde Internet con el fin de desplegar ataques de ransomware, espionaje, mapeo, entre otras actividades maliciosas.
A continuación se presenta el listado que contiene las 25 fallas más explotadas por los hackers del gigante asiático:
CVE-2019-11510: Esta falla afecta a los servidores Pulse Secure VPN; los actores de amenazas podrían enviar un URI especialmente diseñado para ejecutar una lectura de archivos arbitraria, accediendo a información confidencial.
CVE-2020-5902: Los balanceadores de carga F5 BIG-IP son vulnerables a ataques de ejecución remota de código (RCE), lo que comprometería por completo un sistema objetivo.
CVE-2019-19781: Los sistemas Citrix Application Delivery Controller (ADC) y Citrix Gateway son vulnerables a una falla de escalada de directorios, lo que podría desencadenar la ejecución remota de código sin que el actor de amenazas requiera de una credencial válida para ingresar al sistema afectado.
CVE-2020-8193: Esta falla de Citrix afecta a los sistemas SDWAN WAN-OP, permitiendo el acceso sin autenticación a ciertos endpoints de URL y la divulgación de información potencialmente confidencial a usuarios sin los privilegios requeridos.
CVE-2020-8195: Esta falla también afecta a los sistemas SDWAN WAN-OP, permitiendo el acceso sin autenticación a ciertos endpoints de URL y la divulgación de información potencialmente confidencial a usuarios sin los privilegios requeridos.
CVE-2020-8196: Del mismo modo que los dos casos anteriores, esta vulnerabilidad afecta a los sistemas SDWAN WAN-OP, permitiendo el acceso sin autenticación a ciertos endpoints de URL y la divulgación de información potencialmente confidencial a usuarios sin los privilegios requeridos.
CVE-2019-0708: Esta vulnerabilidad, conocida como BlueKeep, existe dentro de los Servicios de Escritorio Remoto (RDS) en los sistemas operativos Windows, y su explotación permitiría la ejecución de código arbitrario.
CVE-2020-15505: una vulnerabilidad de ejecución remota de código en el software de administración de dispositivos móviles (MDM) MobileIron que permitiría a los actores de amenazas ejecutar código arbitrario y tomar control completo de los servidores remotos de una organización afectada.
CVE-2020-1350: También conocida como SIGRed, esta es una vulnerabilidad de ejecución remota de código en los servidores del sistema de nombres de dominio (DNS) de Windows que se desencadena cuando no se pueden manejar adecuadamente las solicitudes.
CVE-2020-1472: Bautizada como Netlogon, esta es una vulnerabilidad de escalada de privilegios que se desencadena cuando un actor de amenazas establece una conexión de canal seguro mediante el protocolo Netlogon.
CVE-2018-6789: Enviando un mensaje hecho a mano a un agente de transferencia de correo de Exim puede provocar un desbordamiento del búfer y la ejecución de código remoto, además del compromiso de una plataforma de correo electrónico.
CVE-2020-0688: Vulnerabilidad de ejecución remota de código en el software Microsoft Exchange cuando el software no puede manejar correctamente los objetos en la memoria.
CVE-2018-4939: Algunas versiones de Adobe ColdFusion tienen una vulnerabilidad crítica de deserialización de datos no confiables. La explotación exitosa de esta falla podría conducir a la ejecución de código arbitrario en el sistema objetivo.
CVE-2015-4852: El componente de seguridad WLS en Oracle WebLogic 15 Server permite a atacantes remotos ejecutar comandos arbitrarios a través de un objeto Java serializado diseñado.
CVE-2020-2555: Esta vulnerabilidad reside en el producto Oracle Coherence de Oracle Fusion Middleware y permite a un atacante no autenticado con acceso a la red a través de T3 comprometer los sistemas Oracle Coherence.
CVE-2019-3396: La macro Widget Connector en Atlassian Confluence 17 Server permite a los atacantes remotos lograr un recorrido de ruta y una ejecución remota de código en una instancia de Confluence Server o Data Center a través de la inyección de plantillas del lado del servidor.
CVE-2019-1158: Un actor de amenazas podría enviar solicitudes a una instancia de Atlassian Crowd o Crowd Data Center para instalar complementos arbitrarios, lo que permite la ejecución remota de código.
CVE-2020-10189: Zoho ManageEngine Desktop Central permite la ejecución remota de código debido a la deserialización de datos que no son de confianza.
CVE-2019-18935: Progress Telerik UI para ASP.NET AJAX contiene una vulnerabilidad de deserialización de .NET. La explotación puede resultar en la ejecución remota de código.
CVE-2020-0601: Esta falla, conocida como CurveBall), permite la suplantación de identidad en la forma en que Windows CryptoAPI (Crypt32.dll) valida los certificados de criptografía de curva elíptica (ECC).
CVE-2019-0803: Existe una falla de escalada de privilegios en Windows cuando el componente Win32k no puede manejar correctamente los objetos en la memoria.
CVE-2017-6327: Symantec Messaging Gateway podría encontrar un problema de ejecución remota de código.
CVE-2020-3118: Una vulnerabilidad en la implementación del Protocolo de descubrimiento de Cisco para el software Cisco IOS XR podría permitir que un atacante adyacente no autenticado ejecute código arbitrario o provoque la recarga de un dispositivo afectado.
CVE-2020-8515: Los dispositivos DrayTek Vigor permiten la ejecución remota de código como usuario root a través de metacaracteres de shell.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
