En realidad, los piratas informáticos aprovechan las vulnerabilidades de seguridad principalmente para obtener acceso no autorizado a los sistemas, robar datos confidenciales e interrumpir los servicios.
Estas vulnerabilidades suelen ser causadas por errores de software sin parches, configuraciones incorrectas o sistemas obsoletos.
Los investigadores de ciberseguridad de Mandiant descubrieron recientemente que se están explotando más de 90 días de días cero y más de 40 días de días N en la naturaleza.
Vulnerabilidad explotada
El análisis integral de vulnerabilidades de Mandiant en 2023 descubrió 138 vulnerabilidades de seguridad explotadas activamente.
Se detectó una distribución notable: 97 vulnerabilidades de día cero y 41 vulnerabilidades de día n (vulnerabilidades explotadas después del lanzamiento de un parche).
Cómo elegir la solución SIEM administrada definitiva para su equipo de seguridad -> Descargue la guía gratuita (PDF)
El hallazgo más notable fue una reducción dramática en el “tiempo de explotación” (“TTE”), en comparación con “un promedio de 32 días en 2021-2022” y “44 días en 2020, para 2023, se ha reducido a un promedio”. de tan sólo 5 días. ~2021'', “63 días del 2018-2019''.
La proporción de exploits de “día n” a “día cero” ha cambiado significativamente desde una proporción previamente constante de aproximadamente “38:62” a “30:70 para 2023”. Esto representa un aumento significativo de los exploits de “día cero”. Actividades de explotación. ”
Además de esto, el cronograma de explotación mostró las siguientes tendencias, especialmente para las “vulnerabilidades de n días”:
El 12 % (5 vulnerabilidades) fueron explotadas dentro de las 24 horas posteriores al lanzamiento del parche. El 29% (12 vulnerabilidades) fueron explotadas en una semana. El 56% fueron explotados dentro del primer mes.
Un caso de estudio notable es “CVE-2023-28121”, que es “Vulnerabilidad del complemento de pagos de WooCommerce”. Esta falla de seguridad permaneció inactiva durante tres meses después de su publicación, lo que demuestra cómo la “disponibilidad de exploits” puede afectar el momento de un ataque.
Cronología de CVE-2023-28121 (Fuente: Mandiant)
Se produjeron exploits masivos (“1,3 millones de ataques por día”) tan solo tres días después de la publicación del exploit armado.
Este escenario resalta la naturaleza rápida de las amenazas cibernéticas modernas y la importancia de implementar parches de seguridad rápidos.
CVE-2023-27997, comúnmente conocida como “XORtigate”, es una vulnerabilidad crítica de “desbordamiento de búfer basado en montón” descubierta en los componentes “SSL” y “VPN” del sistema operativo FortiOS de Fortinet.
Cronología de CVE-2023-27997 (Fuente – Mandiant)
Esta vulnerabilidad se reveló el 11 de junio de 2023 y, debido a su gravedad potencial, rápidamente llamó la atención.
El código de prueba de concepto, los escáneres de vulnerabilidades y los exploits armados estuvieron disponibles públicamente el 16 de junio, pero los intentos de exploits reales no pudieron detectarse hasta el 12 de septiembre de 2023. No fue así. El cronograma para este exploit retrasado podría ser el siguiente: Esto se debe a algunos desafíos técnicos.
Para explotar esta vulnerabilidad, un atacante necesitaría eludir múltiples protecciones de seguridad como “DEP” y “ASLR”, y al mismo tiempo pasar por los complejos mecanismos de “hashing personalizado” y “cifrado XOR” de FortiOS.
La dificultad de la explotación se ve agravada aún más por el hecho de que FortiOS normalmente se implementa en “entornos de red altamente sensibles” con importantes “privilegios de sistema”.
A diferencia de las vulnerabilidades simples que solo requieren la modificación de los “encabezados HTTP”, “XORtigate requiere técnicas de explotación sofisticadas para manipular con éxito el “espacio de memoria dinámica” sin activar protecciones de seguridad”, afirma el informe de Mandiant.
Esto hace que la situación sea particularmente difícil para los atacantes, aunque un exploit exitoso podría resultar en un “compromiso del sistema de alto impacto”.
Estrategias para proteger su sitio web y sus API de ataques de malware => Seminario web gratuito