Vulnerability_intelligence_report-eng.pdf

INVESTIGACIÓN

Informe de inteligencia de vulnerabilidades

Contenido Resumen

03

Puntos importantes

Introducción El estado de las vulnerabilidades

04

05

06

Tendencias de

Vulnerabilidades de alto perfil Cronología de vulnerabilidades

Contribuyentes

32 33

36

Investigación principal

36

Expertos en la materia

36

Anexo

37

revelación de vulnerabilidades

06

Puntos importantes

06

Calificaciones de gravedad de CVSS

37

Análisis

07

Años de revelación de CVE

37

Versiones de CVSS y priorización

09

Metodología

38

Principales vulnerabilidades

11

Conjunto de datos

38

Puntos importantes

12

Predominio

38

Análisis

13

CVE en comparación con vulnerabilidades

38

Metodología de entrevista

38

Gráfico de las 20 principales vulnerabilidades

16

Conclusiones

19

Vulnerabilidades de navegadores web y aplicaciones

20

Puntos importantes

20

Vulnerabilidades de navegadores web

21

Notas finales

39

Gráfico de las 10 principales vulnerabilidades de navegadores web

23

Vulnerabilidades de aplicaciones

26

Gráfico de las 10 principales vulnerabilidades de aplicaciones 2

30 Informe de INTELIGENCIA DE VULNERABILIDADES

Resumen En este informe, brindamos una descripción general de las tendencias actuales de divulgación de vulnerabilidades y los conocimientos sobre la demografía de vulnerabilidades reales en entornos empresariales. Analizamos la preponderancia de las vulnerabilidades que circulan libremente en función de la cantidad de empresas afectadas para resaltar las vulnerabilidades que enfrentan los profesionales de seguridad en la práctica y no solo en teoría. Nuestro estudio confirma que la gestión de vulnerabilidades es un desafío de escala, velocidad y volumen. No es solo un desafío de ingeniería, sino que exige una visión centrada en el riesgo para priorizar miles de vulnerabilidades que superficialmente todas parecen ser iguales.

3

A lo largo de este informe, utilizamos los términos “vulnerabilidad” y “CVE” de manera indistinta. Common Vulnerabilities and Exposures1 (CVE) es “una lista de entradas (cada una contiene un número de identificación, una descripción y, al menos, una referencia pública) de vulnerabilidades de ciberseguridad conocidas públicamente”2. Un identificador de CVE describe una vulnerabilidad única, conforme a lo cual “único” puede referirse a único en un sistema operativo determinado para una versión específica en lugar de en general. En realidad, varias CVE pueden referirse a la misma “vulnerabilidad”, (por ejemplo, una vulnerabilidad que afecta a un navegador disponible en diversos sistemas operativos, como Microsoft Windows, Red Hat Enterprise Linux y SUSE Linux). Para asegurarnos de que tenemos datos comparables para vulnerabilidades nuevas y antiguas, siempre que nos referimos a “CVSS” o “gravedad”, generalmente hacemos alusión a CVSSv2, a menos que indiquemos lo contrario. Por lo general, usamos CVSSv2 cuando comparamos datos históricos de vulnerabilidades y CVSSv3 solo cuando tenemos en cuenta datos más recientes, cuando hay datos de CVSSv3 disponibles.

Informe de INTELIGENCIA DE VULNERABILIDADES

Puntos importantes El aumento de las vulnerabilidades nuevas continúa de manera incesante: • Se publicaron 15.038 vulnerabilidades nuevas en 2017 como CVE3 en comparación con 9837 de 2016, lo que representa un aumento del 53 %.

• El primer semestre de 2018 muestra un aumento del 27 % en comparación con el primer semestre de 2017. Se prevén entre 18.000 y 19.000 nuevas vulnerabilidades este año.

La priorización solo en función de la gravedad o explotabilidad alta es cada vez más ineficaz debido al volumen total: • El 54 % de las nuevas CVE de 2017 se calificaron como CVSSv3 7 (Alta) o superior. • Se dispone de exploits públicas para el 7 % de las vulnerabilidades.

• Para las vulnerabilidades donde haya disponibles calificaciones CVSS de versión 2 y 3, y sea posible una comparación (principalmente después de 2016), CVSSv3 califica a la mayoría de las vulnerabilidades como altas o críticas (CVSSv2 31 % frente a CVSSv3 60 %).

La gestión de vulnerabilidades empresariales es un desafío de escala, volumen y velocidad: • La población activa (22.625) de distintas vulnerabilidades que realmente reside en entornos empresariales representa el 23 % de todas las CVE posibles (107.710).

• Casi dos tercios (el

61 %) de las vulnerabilidades que las empresas encuentran en sus entornos

tienen una gravedad CVSSv2 alta (entre 7 y 10).

• Las vulnerabilidades con un puntaje CVSSv2 de 9 a 10 representan el 12 % de toda la población de

vulnerabilidades. En promedio, una empresa encuentra 870 CVE por día en 960 activos4. Esto significa

que las metodologías de priorización en función solo de la reparación de CVE críticas aún dejan a la empresa promedio con más de cien vulnerabilidades por día para priorizar por parche, a menudo, en varios sistemas. • Se descubrieron cantidades considerables de antiguas vulnerabilidades de Oracle Java, Adobe Flash, Microsoft IE y Office en entornos empresariales (algunas con una antigüedad superior a una década). Hay aplicaciones antiguas, descontinuadas y fuera de uso circulando libremente, y las aplicaciones heredadas siguen siendo una fuente importante de riesgo residual.

4

Informe de INTELIGENCIA DE VULNERABILIDADES

Introducción El descubrimiento y la revelación de vulnerabilidades continúa aumentando en términos de volumen y ritmo. Solo en 2017, se publicó un promedio de 41 nuevas vulnerabilidades por día, lo que genera un total de 15.038 por año. Además, el aumento de las vulnerabilidades recientemente reveladas en el primer semestre de 2018 mostró un aumento del 27 % en el primer semestre de 2017.5

consecuencia directa de una gestión de vulnerabilidades ineficaz. Nuestra propia investigación lo confirma. En nuestro informe “Quantifying the Attacker’s First-Mover Advantage”

Las vulnerabilidades de alto perfil también se han convertido en una característica habitual de los principales titulares y, a menudo, se mencionan como la causa principal de la filtración masiva de datos. Ya sea la filtración de datos de Equifax6 o WannaCry7, la realidad es que muchos incidentes de alto perfil podrían haberse evitado con una mejor higiene cibernética. De hecho, 57 % de las empresas que fueron objeto de una filtración de datos en los últimos dos años afirman que una vulnerabilidad conocida y sin parches fue la causa principal8.

Defender Strategies” (Estrategias de Defensa Cibernética)10,

Las amenazas de día cero y las amenazas avanzadas son temas contundentes para los medios de comunicación, pero las amenazas avanzadas, en especial, los actores de amenazas a nivel nacional, no son algo cotidiano para la empresa promedio. La mayoría de las filtraciones de datos no suponen ataques sofisticados ni exploits de día cero. Es verdad que si puede defenderse contra amenazas avanzadas, también podrá detener los ataques oportunistas. Pero no así a la inversa. Si no puede detener las amenazas básicas, definitivamente no podrá defenderse de las más avanzadas. Y lo que es más importante, aunque, en realidad, nunca podremos mitigar todas las vulnerabilidades que existen en nuestros entornos, podemos fortalecer nuestra superficie para dificultar el accionar de un atacante en la máxima medida posible. Al mismo tiempo, también debemos ser realistas y reconocer que conservar una buena higiene cibernética es difícil. Exige colaboración y orquestación entre diversas organizaciones y dominios. Las unidades de negocios deben tratar de conciliar los objetivos y las prioridades en conflicto en pos de reducir los riesgos. La verdad es que las complejidades técnicas y los desafíos de escala implicados en la gestión de vulnerabilidades empresariales casi nunca son el único inhibidor para la elaboración y puesta en marcha de un programa maduro de gestión de vulnerabilidades. La gestión eficaz de amenazas y vulnerabilidades también depende de la armonía entre las personas, los procesos y la tecnología. Aparte de la ingeniería social como el vector de ataque inicial, la mayoría de las filtraciones de datos modernas son una 5

(Cuantificación de la Ventaja del Atacante como Primero en Actuar)9 de mayo de 2018, detectamos que los atacantes tienen una ventana de siete días en la cual existe un exploit disponible antes de que las empresas siquiera se den cuenta de que son vulnerables. En nuestro informe “Cyber

concluimos que casi el 52 % de las empresas tienen una evaluación de vulnerabilidades de madurez baja.

Tratar de reparar y mitigar todas las vulnerabilidades reveladas, incluso al priorizar las vulnerabilidades Altas y Críticas, es un ejercicio inútil, como lo demuestran nuestros datos. La realidad es que nunca se desarrolló un exploit que funcione para la mayoría de las vulnerabilidades. Y, de esos, un subconjunto aún más pequeño está armado activamente y lo emplean actores de amenazas. La gestión de vulnerabilidades en volumen y escala en diferentes equipos exige inteligencia procesable. De lo contrario, no estamos tomando decisiones informadas, estamos adivinando. Un déficit de inteligencia en la gestión de la vulnerabilidades está generando consecuencias en el mundo real: el 34 % de las organizaciones objeto de filtración de datos indican que conocían la vulnerabilidad que generó la filtración antes de que ocurriera.11 El problema es que tenemos demasiada información y no suficiente inteligencia. Convertir la información en inteligencia exige interpretación y análisis; algo que no se escala fácilmente. La solución reside en poner en práctica la inteligencia en función de las características únicas de su organización: sus activos y vulnerabilidades digitales más críticos. Este informe presenta un poco de ambas: las tendencias generales globales en materia de vulnerabilidades y la inteligencia puesta en práctica en función de que las empresas realmente tienen que enfrentar en sus propios entornos. Este informe también presenta el Gráfico de las 20 principales vulnerabilidades que brinda información sobre las vulnerabilidades más comunes en diferentes tecnologías de los entornos empresariales. El Gráfico de las 20 principales vulnerabilidades aprovecha datos de telemetría reales para determinar qué vulnerabilidades están realmente presentes en los entornos empresariales, en lugar de solo existir en bases de datos de vulnerabilidades, y, por lo tanto, brinda una visión más confiable del estado real de la población de vulnerabilidades. Informe de INTELIGENCIA DE VULNERABILIDADES

El estado de las vulnerabilidades Tendencias de Revelación de Vulnerabilidades En esta sección, abordamos las tendencias actuales de revelación de vulnerabilidades. Para denotar vulnerabilidades específicas, utilizamos los identificadores de Common Vulnerability and Exposures (CVE). Las CVE en sí mismas tienen algunos problemas conocidos, especialmente en relación con la exhaustividad y la puntualidad12, pero muchos las consideran una norma oficial, por lo que aquí la usamos como referencia.

PUNTOS IMPORTANTES En 2017, el aumento de las vulnerabilidades reveladas recientemente continúa de manera incesante: • Se revelaron 15.038 vulnerabilidades nuevas, en comparación con 9837 en 2016, lo que representa un aumento del 53 %.

• Había exploits públicas disponibles para el 7 % de todas las vulnerabilidades reveladas.

• El 54 % de las nuevas CVE de 2017 se calificaron como CVSSv3 7 (Alta) o superior.

• Se proyectan entre 18.000 y 19.000 vulnerabilidades nuevas para 2018, con una tasa de crecimiento actual del 27 %en comparación con 2017.

El cambio de CVSSv2 a CVSSv3 tiene un impacto importante en la distribución de la gravedad: • CVSSv3 califica a la mayoría de las vulnerabilidades como Altas y Críticas.

• CVSSv2 califica al 31 % de las CVE como de gravedad Alta, en comparación con el 60 % con gravedad Alta o Crítica en virtud de CVSSv3.

CVSS no tiene suficiente granularidad, como medida de priorización en volumen y escala, para diferenciar entre grados de criticidad.

6

Informe de INTELIGENCIA DE VULNERABILIDADES

ANÁLISIS Cómo contabilizar las vulnerabilidades y el atraso de la NVD

Hay casos extremos en los que, por ejemplo, se asignó una CVE a una vulnerabilidad en 2016, pero no se reveló al público hasta 2018. Sin embargo, es más común que un proveedor asigne una CVE y publique una advertencia, pero que haya un retraso hasta que la NVD la procese.

Muchos estudios basan la fecha de publicación de una CVE en la fecha de publicación en la Base de Datos Nacional de Vulnerabilidades (NVD)13. Por ejemplo, una vulnerabilidad CVE-2017 que no se publicó en la NVD hasta 2018 se clasificaría como una vulnerabilidad 2018.

Nuestra metodología es contabilizar todas las vulnerabilidades de CVE-2017 en el conjunto de datos de 2017. A excepción de los casos extremos mencionados anteriormente, esto refleja, con mayor precisión, la cantidad de vulnerabilidades que los clientes realmente deben gestionar.

El problema con esta metodología es el retraso notorio14 en las nuevas vulnerabilidades que se agrega a la NVD. Muchas vulnerabilidades se revelan públicamente en el año correspondiente a su identificador de CVE, no en la fecha de publicación en la NVD. Por ejemplo, CVE-2017-1000391 aparece en la NVD con una fecha de publicación del 25 de enero de 2018,15, a pesar de que la advertencia se reveló el 8 de noviembre de 2017.16

En el gráfico que aparece a continuación (Figura 1), se compara el conteo “oficial” de CVE anual desde 2010 con la realidad. El promedio anual de retraso es del 13 %, aproximadamente.

NVD en comparación con la realidad

16000

40%

14000

35%

12000

30%

10000

25%

8000

20%

6000

15%

4000

10%

2000

5%

0

2010

2011

2012

NVD

2013

2014

Realidad

2015

2016

0%

2017

Figura 1. CVE publicadas en la NVD frente a las CVE reveladas públicamente en realidad

% de CVE no informadas en su totalidad

Tendencias en la publicación de vulnerabilidades En 2017, se revelaron 15.038 CVE, lo que representa un crecimiento del 53 % en comparación con 2016. El crecimiento interanual promedio desde 2010 ha sido del 15 %. Y el aumento de las vulnerabilidades reveladas y las CVE publicadas continúa sin disminuir en 2018. En el primer semestre de 2018, se publicaron 5314 CVE, en comparación con las 4189 en el primer semestre de 2017, lo que representa un aumento del 27 %. Al ritmo actual, estamos encaminados a tener más de 18.000 a 19.000 vulnerabilidades nuevas para 2018. Consulte el resumen en la Figura 2. CVE 2017

15.038

Crecimiento en 2017 frente al crecimiento de 2016

53 %

Crecimiento actual en el primer semestre de 2018 en comparación con el primer semestre de 2017

27 %

Proyección de CVE para 2018

18K - 19K

Figura 2. Crecimiento de CVE publicadas entre 2010 y 2017, incluida la proyección para 2018

7

Informe de INTELIGENCIA DE VULNERABILIDADES

CVE relevadas y explotabilidad

16000

25 %

Explotabilidad

14000 20%

12000 10000

Mientras tanto, se proyecta que la proporción de CVE con un exploit disponible públicamente alcance el 8 % en 2018, lo que refleja un punto porcentual más que en 2017. Conforme a las proyecciones actuales, se publicarán más de 1500 vulnerabilidades explotables en 2018, o un poco más de 28 vulnerabilidades explotables por semana.

15%

8000 10%

6000 4000

5%

2000 0

0% 2010

2011

2012

Total

2013

2014

2015

Exploit disponible

2016

2017

2018 (A LA FECHA)

% explotable

Figura 3. CVE totales en comparación con CVE explotables

Tendencias de la gravedad de las vulnerabilidades

Gravedad "Alta" y superior de nuevas CVE entre 2010 y 2018

16000

40%

14000

Hay muy pocas calificaciones de CVSSv3

12000

disponibles para vulnerabilidades antes de 2016; es por ello por lo que nuestros análisis históricos se centran en CVSSv2. Lo que se destaca en el gráfico que aparece a la derecha (Figura 4) es que, si bien hay un aumento correspondiente de vulnerabilidades de gravedad Alta (CVSSv2 7 y superior), en realidad, estas vulnerabilidades ha disminuido como proporción del total desde 2017. En teoría, eso aún posiblemente deja más de 3900 vulnerabilidades de gravedad Alta que deben priorizarse. (Nota: Los datos de 2018 no están completos y se basan en CVE reveladas hasta agosto de 2018).

10000

35% 30% 25 %

8000

20%

6000

15%

4000

10%

2000 0

45%

5% 2010

2011

2012

CVE totales

2013

2014

Gravedad alta

2015

2016

2017

2018

0%

% de Gravedad alta

Figura 4. CVE nuevas entre 2010 y 2018

En el caso de las vulnerabilidades más nuevas, podemos comparar directamente la distribución de CVSSv2 con la de CVSSv3. Algo que se debe considerar es que CVSSv3 designa una gravedad Crítica para calificaciones de 9 a 10, mientras que CVSSv2 asigna a cualquier calificación entre 7 y 10 una gravedad Alta. Cuando comparamos la distribución de las gravedades de CVSSv3 entre el primer semestre de 2017 y el primer semestre de 2018, vemos que las vulnerabilidades de gravedad crítica conformaban el 15 % de todas las vulnerabilidades reveladas, lo que arroja un aumento del 12 % en el primer semestre de 2017. Si se mantiene la tendencia actual, veremos más de 900 vulnerabilidades de gravedad Crítica para fines de 2018.

CRÍTICA 12%

BAJA 2%

CRÍTICA 15%

2017 ALTA 46%

8

BAJA 1%

2018 MEDIA 40%

ALTA 44%

Baja Media Alta Crítica

MEDIA 40%

Figura 5. CVE conforme a la gravedad calificada por CVSSv3 en el primer semestre de 2017 en comparación con el primer semestre de 2018

Informe de INTELIGENCIA DE VULNERABILIDADES

VERSIONES DE CVSS Y PRIORIZACIÓN CVSSv3 se lanzó en junio de 2015 y tiene como objetivo reemplazar la CVSSv2. CVSSv3 incluyó varios cambios relacionados principalmente con el alcance. Por ejemplo, CVSSv3 no solo considera cómo afecta una vulnerabilidad al componente vulnerable original, sino también si la vulnerabilidad afecta a otros componentes del sistema (por ejemplo, una vulnerabilidad en un servidor web también podría afectar a los navegadores web conectados). Las secuencias de comandos entre sitio y las vulnerabilidades de inyección de SQL son buenos ejemplos.

medida independiente, no solo un factor de la medida de complejidad. Además, se agregó una gravedad crítica oficial a las gravedades existentes, es decir, Baja, Media y Alta. En el caso de las vulnerabilidades anteriores a 2016, no hay una puntuación de CVSSv3 disponible, pero podemos hacer comparaciones para las CVE más recientes. Cuando comparamos la distribución de gravedad del CVSSv2 y del CVSSv3 para todas las CVE que tienen ambas calificaciones disponibles, existe un cambio visible hacia la derecha hacia una mayor gravedad. Muchas CVE consideradas de gravedad Media en virtud de CVSSv2 se reclasificaron como Altas o Críticas conforme a CVSSv3 (vea la Figura 6).

Otro cambio es que el nivel de interacción del usuario que se necesita para una explotación exitosa ahora es una

NINGUNA 0%

CVE en general: reclasificación de CVSSv2 a CVSSv3 16000

ALTA 31%

14000

BAJA 10%

CVSSv2

12000 10000

MEDIA 59%

8000

NINGUNA BAJA 0% 2%

6000

CRÍTICA 16%

4000 2000 0

Ninguna

Baja

Media

CVSSv2

Alta

CVSSv3

Figura 6. CVE en general: CVSSv2 en comparación con la clasificación CVSSv3

CVSSv3

Crítica

MEDIA 38%

ALTA 44%

Figura 7. CVE en general: distribuciones de gravedad de CVSS

Entonces, ¿por qué somos testigos de este cambio? Un motivo es que, en virtud de CVSSv2, la evaluación de impacto se centra en el impacto en el sistema operativo. Pero, en función de CVSSv3, el impacto considera el componente vulnerable y otros componentes afectados, y evalúa cuál es el más grave. Otra modificación que probablemente provocó este cambio fue la eliminación de la complejidad de ataque media, lo que genera que muchas vulnerabilidades se desplacen hacia una complejidad de ataque baja. El cambio de CVSSv2 a CVSSv3 tiene un impacto importante en la distribución de las gravedades de las CVE. Los dos sistemas brindan clasificaciones opuestas, y CVSSv3 califica a la mayoría de las vulnerabilidades como Altas y Críticas (el 60 % en CVSSv3 en comparación con el 31 % en CVSSv2). CVSS es lamentablemente inadecuada como medida de priorización, ya que no tiene suficiente granularidad y una perspectiva más amplia para diferenciar entre grados de criticidad.

9

Informe de INTELIGENCIA DE VULNERABILIDADES

Conocimientos adquiridos del campo Para agregar perspectiva real a los datos, Tenable Research realizó entrevistas con profesionales de la seguridad a nivel de gerente y analista sobre la estrategia y la práctica de la gestión de vulnerabilidades. Los conocimientos clave adquiridos de estas entrevistas se incluyen a lo largo de este informe.

“

Creo que hubo un aumento del 14 % en comparación con el año pasado. Estamos hablando de aproximadamente 200.000 vulnerabilidades.

Debido a que los entrevistados ponen en práctica la gestión de vulnerabilidades a diario, no hablaron mucho sobre el volumen de vulnerabilidades que enfrentan en la actualidad. Para ellos, la mitigación de las vulnerabilidades es un hecho.

“

La gestión de vulnerabilidades nunca termina. Es un viaje. Siempre será algo. Y si alguna vez deja de llevarla a cabo, estará expuesto a niveles inimaginables de riesgo. Así que es... solo un proceso realmente [...] No puede poner un proyecto a su alrededor. Es decir, puede hacer un proyecto de implementación, pero nunca terminará con las vulnerabilidades. No puede ponerle una fecha de finalización.

En cambio, estos profesionales de la seguridad reflexionaron sobre el trabajo necesario para segmentar y priorizar las vulnerabilidades de una manera útil. Debido a la gran cantidad de vulnerabilidades reveladas y a la naturaleza de los puntajes de CVSS, la mayoría de los participantes elaboraron algún tipo de calificación personalizada para priorizar las vulnerabilidades en los sistemas de sus organizaciones.

Por lo general, los participantes se esforzaron por pensar en tendencias nuevas de vulnerabilidades para 2018. Algunos incluso reflexionaron sobre que 2018 sería un año relativamente estándar en comparación con los anteriores. Un entrevistado comentó que investigadores y atacantes podrían estar “profundizando” la búsqueda de vulnerabilidades.

Una tendencia de vulnerabilidades que algunos participantes señalaron fueron las operaciones de minería de criptomonedas, específicamente aquellas que explotan las vulnerabilidades de Oracle WebLogic.

10

“ “ “

“

Los puntajes de CVSS serían útiles si supone que todos los activos son iguales, pero no lo son. Por lo tanto, en realidad, no los usamos.

Después del año pasado, no hay mucho que pueda sorprenderme. Fue un año difícil entre WannaCry, NotPetya, todo el ransomware y lo que sucedió. Por suerte, la mayor parte de este año ha sido bastante tranquila. 2017 siempre será el año que tomaré como referencia para las comparaciones, al menos, por ahora. Estoy seguro de que vendrá otro año. Están buscando en áreas nuevas que nadie nunca evaluó. Están encontrando grandes cantidades de vulnerabilidades de larga data porque nadie nunca había buscado en esos lugares. Specter y Meltdown son ejemplos de eso. Y creo que veremos cuestiones similares en el futuro [...] La gente se está quedando sin secuencias de comandos entre sitios en donde buscar y está empezando a analizar otros lugares. Creo que la minería de criptomonedas se está apoderando de las tendencias de ataque, y, en algunos casos, de manera rápida. Eso es lo que notamos a finales del año pasado. Y provenía de dos vectores. De forma sorpresiva, uno de los vectores era WebLogic [...] Históricamente, no era algo que ocupara un lugar destacado en nuestra lista cuando realizábamos escaneos.

Informe de INTELIGENCIA DE VULNERABILIDADES

Principales vulnerabilidades En realidad, una vulnerabilidad revelada es solo una descripción. Las CVE en sí mismas son un buen ejemplo, ya que son un diccionario de nombres comunes (es decir, identificadores de CVE) para las vulnerabilidades conocidas públicamente. A su vez, la NVD es una base de datos que documenta los detalles reales relacionados con una vulnerabilidad utilizando las CVE como identificadores únicos.

Si queremos hacer una analogía, los detalles de las CVE y la NVD son similares a describir una nueva enfermedad. Indican cómo se llama la enfermedad, cómo se evidencia, cómo infecta o “explota” a un huésped y sus síntomas. Sin embargo, no informan sobre cuántas personas son potencialmente vulnerables o se ven afectada por la enfermedad. Si bien el análisis de las tendencias generales sobre vulnerabilidades nuevas e históricas es útil para comprender cómo evolucionan las vulnerabilidades en sí mismas, usted debe buscar datos de telemetría reales para realmente entender qué vulnerabilidades están presentes en los entornos empresariales y representan el mayor y real riesgo.

Analizamos los datos de prevalencias de vulnerabilidades desde marzo hasta agosto de 2018 en un conjunto de datos con más de 900.000 evaluaciones de vulnerabilidades únicas llevadas a cabo por 2100 empresas individuales de 66 países para determinar las vulnerabilidades más dominantes.

Para medir la prevalencia, observamos el pico más alto de empresas afectadas en un día en particular (es decir, las empresas en las que se detectó la vulnerabilidad en un escaneo de evaluación de vulnerabilidades [consulte el Anexo para obtener más información]). También utilizamos el pico más alto de activos afectados en un día en particular como medida secundaria.

11

Informe de INTELIGENCIA DE VULNERABILIDADES

PUNTOS IMPORTANTES La población activa de vulnerabilidades que realmente reside en entornos empresariales representa el

23 % de todas las CVE posibles. Casi dos tercios (el

61 %) de las vulnerabilidades que las empresas encuentran en sus entornos

tienen una gravedad Alta (CVSSv2 entre 7 y 10).

Las vulnerabilidades con un puntaje CVSSv2 de 9 a 10 representan el 12 % de toda la población de

vulnerabilidades. En promedio, una empresa encuentra 870 CVE por día en 960 activos.17 Esto significa

que las metodologías de priorización en función de la reparación de estas CVE Altas (o Críticas) aún dejan a la empresa promedio con más de cien vulnerabilidades por día para priorizar por parche, a menudo, en varios sistemas.

Observamos claramente una diferencia entre el riesgo local y el riesgo global: • Algunos proveedores, como las distribuciones de Linux, como Red Hat, Oracle y Novell SUSE, ocupan los primeros puestos en la cantidad de CVE distintas que circulan libremente, pero su impacto en términos de organizaciones o activos afectados es bajo. Estos representan un riesgo local: alto e importante para la organización afectada, pero no así indefectiblemente para la mayor parte de la población mundial de Internet. • Otros proveedores, como Microsoft (.NET y Office), Adobe (Flash) y Oracle (Java), tienen una cantidad comparativamente baja de vulnerabilidades distintas, pero afectan a una gran cantidad de empresas y activos. Estos representan un riesgo global, ya que afectan a una cantidad importante de empresas y activos en todo el mundo.

Las vulnerabilidades de Microsoft y Adobe Flash son las más destacadas en las 20 principales vulnerabilidades en función del porcentaje de empresas afectadas. (Consulte el Gráfico de las 20 principales vulnerabilidades).

El 27 % de las empresas aún detectan servicios que utilizan las versiones inseguras SSLv2 y SSLv3.

12

Informe de INTELIGENCIA DE VULNERABILIDADES

ANÁLISIS En total, hubo 24.625 CVE específicas con gravedad Baja a Alta en el conjunto de datos. En octubre de 2018, se han publicado 107.710 CVE, por lo que la población activa de vulnerabilidades en entornos empresariales representa el 23 % de todas las CVE posibles. En el gráfico que aparece a continuación, se puede ver la distribución de la gravedad en todo el conjunto de datos (vea la Figura 8). El gráfico muestra el recuento y las distribuciones de CVE únicas detectadas en los entornos empresariales desde marzo hasta agosto de 2018.

Distintas CVE por proveedor y gravedad. MEDIA 36%

Cisco Apple Apache Foundation Google Adobe

BAJA 3%

Mozilla Firefox

ALTA 61%

IBM

Baja

Oracle Fedora

Media

Alta

Figura 8. Distribución de distintas CVE de todas las gravedades

Aplicaciones de Microsoft Sistema operativo de Microsoft Debian Linux CentOS Linux Novell SuSE Linux Oracle Linux Red Hat Enterprise Linux 0

500

1000

Factor de riesgo bajo

1500

2000

Factor de riesgo medio

2500

3000

Factor de riesgo alto

Figura 9. Distintas CVE por proveedor y todas las gravedades

La cantidad de CVE distintas detectadas en Red Hat Enterprise Linux es la más alta por mucho y las distribuciones de Linux generalmente dominan los niveles superiores. A primera vista, esto puede indicar que Linux es, por lo general, menos seguro. Pero debemos tener en cuenta que, en el caso de las distribuciones de Linux, se suman vulnerabilidades del sistema operativo central y de aplicaciones de terceros. Si quisiéramos una visión comparable para Microsoft Windows, tendríamos que tener en cuenta las aplicaciones de Microsoft y los grupos de sistema operativo de Microsoft en conjunto. También debemos pensar que estos datos solo tienen en cuenta el recuento de distintas vulnerabilidades detectadas, no el recuento de activos o empresas afectados. También es notable que el 61 % de las CVE se calificaron con un CVSSv2 de gravedad Alta.

13

Informe de INTELIGENCIA DE VULNERABILIDADES

Distintas CVE por proveedor: Gravedad alta Apache Foundation Cisco Apple

BAJA Y MEDIA 39%

Google IBM

ALTA 61%

Adobe Fedora Baja y Media

Oracle

Alta

Figura 10. Distribución de CVE por gravedad

Mozilla Firefox Aplicaciones de Microsoft Debian Linux CentOS Linux Sistema operativo de Microsoft Novell SuSE Linux Oracle Linux Red Hat Enterprise Linux 0

200

400

600

800

1000

1200

1400

Figura 11. Distintas CVE de gravedad Alta por proveedor

Los análisis antes mencionados se centraron en el recuento de distintas CVE y su distribución por proveedor. Esto brinda algo de información sobre la vulnerabilidad, y el perfil de riesgo resultante, de diferentes proveedores. También destaca cómo la priorización puede ser más desafiante cuando se trata de algunas tecnologías en comparación con otras. Para ver cuánto riesgo representa una CVE determinada en la población general de la empresa, debemos observar cuántas empresas se ven realmente afectadas por esa CVE. El gráfico que aparece a continuación (vea la Figura 12) muestra la cantidad máxima de empresas y activos afectados en un solo día de escaneo para los mismos proveedores mencionados arriba. Esto muestra con claridad que un número alto de vulnerabilidades, (por ejemplo, en Red Hat p SUSE Linux) no necesariamente equivale a un número alto de empresas o activos afectados. Una cantidad elevada de distintas vulnerabilidades de gravedad Alta en uno o pocos activos representa un riesgo local alto. Una cantidad baja de distintas vulnerabilidades de gravedad Alta en una gran número y variedad de activos representa un riesgo global alto. Básicamente, esta es una medida de la densidad de la vulnerabilidad de activos frente a la prevalencia de una vulnerabilidad en la empresa.

14

Informe de INTELIGENCIA DE VULNERABILIDADES

Distintas CVE por proveedor e impacto

CPE (Grupo

280K

Aplicaciones de Microsoft

Adobe

Apache

260K 240K

Recuento máx. de activos impactados en un día

Apple

Oracle

CentOS Cisco Debian

Adobe

220K

Fedora

200K Sistema operativo de Microsoft

180K

Mozilla

Google

Google HPE IBM

Aplicaci

160K

Sistema

Novell S

140K

Oracle

Oracle L

120K

Red Hat

Ubuntu 100K 80K 60K 40K 20K

Mozilla Firefox

Red Hat Enterprise IBM Ubuntu Linux

0K

CentOS Linux

Apple

Apache Foundation

0%

2%

4%

6%

8%

10%

12% 14% 16% 18% 20% 22%

24% 26% 28% 30%

32%

34%

% de empresas afectadas

% máximo dedeempresas encomparación comparación el recuento máx. de activos El color muestra detalles sobreseCPE (grupo). % máximo empresas en concon el recuento máx. de activos. El color promedio. muestra detalles sobre CPE (grupo). Las marcas etiquetan porLas CPEmarcas (grupo) se etiquetan po

Cpe (Grupo) Adobe

Fedora

Sistema operativo de Microsoft

Apache Foundation

Mozilla Firefox

Novell SuSE Linux

Apple

Google

Oracle

CentOS Linux

HPE

Oracle Linux

Cisco

IBM

Red Hat Enterprise

Debian Linux

Aplicaciones de Microsoft

Ubuntu Linux

Figura 12. Distintas CVE por proveedor e impacto

15

Informe de INTELIGENCIA DE VULNERABILIDADES

Las

PRINCIPALES VULNERABILIDADES A continuación, detallamos las 20 principales vulnerabilidades que se encuentran en entornos empresariales. Siempre que sea posible, brindamos una CVE para ayudar a identificar la vulnerabilidad. Nota: Debido a la forma en que las vulnerabilidades y las CVE se agregan en los parches y las actualizaciones de proveedores, una única firma de vulnerabilidades puede detectar varias vulnerabilidades, con diversas gravedades diferentes. Como la actualización aplica varios parches, los activos afectados serán vulnerables a todos ellos si la actualización no se ha aplicado. Esto significa que algunas CVE, aunque diferentes y con diferentes gravedades, comparten las mismas métricas de prevalencia. En estos casos, hemos seleccionado la vulnerabilidad con la gravedad más alta. Si había varias vulnerabilidades que compartían la misma gravedad, seleccionamos una vulnerabilidad representativa.

1

CVE CVE-2018-8202

GRUPO Aplicaciones de Microsoft

Existe una elevación de la vulnerabilidad de privilegios en .NET Framework que podría permitir a un atacante elevar su nivel de privilegios (también se conoce como “.NET Framework Elevation of Privilege Vulnerability” [Elevación de la vulnerabilidad de privilegios en .NET Framework]).

2

CVE CVE-2018-6153

GRUPO Google Chrome

Google Chrome es vulnerable a un desbordamiento del búfer de pilas (estructura de datos), causado por la verificación de límites inadecuada llevada a cabo por Skia. Tras persuadir a una víctima para que visite un sitio web diseñado especialmente, un atacante remoto podría desbordar un búfer y ejecutar un código arbitrario en el sistema o provocar que la aplicación se bloquee.

3

CVE CVE-2015-6136

GRUPO Microsoft IE

Los motores Microsoft VBScript de Internet Explorer 8 a 11 y otros productos permiten a los atacantes remotos ejecutar un código arbitrario a través de un sitio web diseñado específicamente (también se conoce como “Scripting Engine Memory Corruption Vulnerability” [Vulnerabilidad de corrupción de memoria en el motor de scripting]).

4

CVE CVE-2018-2938

GRUPO Oracle Java

Un usuario remoto puede aprovechar una falla en el componente Java SE Java DB para obtener mayores privilegios.

5

CVE CVE-2018-1039

GRUPO Aplicaciones Microsoft

Existe una vulnerabilidad de evasión de la función de seguridad en .NET Framework que podría permitir a un atacante eludir a Device Guard (también se conoce como “.NET Framework Device Guard Security Feature Bypass Vulnerability” [Vulnerabilidad de evasión de la función de seguridad Device Guard en .NET Framework]).

16

32 %

30 %

28 %

28 %

28 %

Informe de INTELIGENCIA DE VULNERABILIDADES

6

CVE NINGUNA

GRUPO SSL

Detección de protocolo SSL versión 2 y 3. El servicio remoto acepta conexiones cifradas que utilizan SSL 2.0 o SSL 3.0. Estas versiones de SSL se ven afectadas por varias fallas criptográficas, que incluyen un esquema de rellenado inseguro con cifrados CBC y esquemas inseguros de renegociación y reanudación de sesión.

7

CVE CVE-2018-6130

GRUPO Google Chrome

Acceso de Google Chrome a la memoria fuera de límites en WebRTC.

8

CVE CVE-2018-8242

GRUPO Microsoft IE

Existe una vulnerabilidad de ejecución de código remoto en la forma en que el motor de scripting maneja objetos en memoria en Internet Explorer (también se conoce como “Scripting Engine Memory Corruption Vulnerability” [Vulnerabilidad de corrupción de memoria en el motor de scripting]). Esto afecta a Internet Explorer 9 a 11.

9

CVE CVE-2017-8517 GRUPO Microsoft IE Los navegadores de Microsoft permiten que un atacante ejecute un código arbitrario en el contexto del usuario actual cuando no se pueden ejecutar los motores de JavaScript al manejar objetos en la memoria de los navegadores de Microsoft (también se conoce como "Scripting Engine Memory Corruption Vulnerability" [Vulnerabilidad de corrupción de memoria del motor de scripting]).

10

CVE CVE-2018-5007

GRUPO Adobe Flash

Adobe Flash Player 30.0.0.113 y versiones anteriores tienen una vulnerabilidad de confusión de tipo. La explotación exitosa podría generar la ejecución de un código arbitrario en el contexto del usuario actual.

11

CVE CVE-2018-8249, CVE-2018-0978

GRUPO Microsoft IE Existe una vulnerabilidad de ejecución de código remoto cuando Internet Explorer accede, de forma incorrecta, a objetos en la memoria (también se conoce como “Internet Explorer Memory Corruption Vulnerability” [Vulnerabilidad de corrupción de memoria en Internet Explorer]).

12

GRUPO Aplicaciones Microsoft CVE CVE-2018-8310 Existe una vulnerabilidad de manipulación indebida cuando Microsoft Outlook no maneja correctamente los tipos de adjuntos específicos al mandar datos de correos electrónicos HTML (también se conoce como “Microsoft Office Tampering Vulnerability” [Vulnerabilidad de manipulación indebida de Microsoft Office]). Afecta a Microsoft Word, Microsoft Office.

13

CVE CVE-2018-5002

GRUPO Adobe Flash

Las versiones de Adobe Flash Player 29.0.0.171 y anteriores tienen una vulnerabilidad de desbordamiento del búfer de pilas (estructura de datos). La explotación exitosa podría generar la ejecución de un código arbitrario en el contexto del usuario actual.

17

27 %

26 %

26 %

25 %

25 %

24 %

23 %

23 %

Informe de INTELIGENCIA DE VULNERABILIDADES

14

CVE CVE-2018-8178

GRUPO Microsoft IE

Existe una vulnerabilidad de ejecución de código remoto en la forma en que los navegadores de Microsoft acceden a objetos en la memoria (también se conoce como “Microsoft Browser Memory Corruption Vulnerability” [Vulnerabilidad de corrupción de memoria en el navegador de Microsoft]).

15

CVE CVE-2018-2814

GRUPO Oracle Java

Vulnerabilidad en el componente incorporado Java SE de Oracle Java SE (subcomponente: HotSpot). Los ataques exitosos de esta vulnerabilidad pueden provocar la toma de control de Java SE.

16

CVE CVE-2018-5008

GRUPO Adobe Flash

Adobe Flash Player 30.0.0.113 y versiones anteriores tienen una vulnerabilidad de lectura fuera de límite. La explotación exitosa podría generar la revelación de información.

17

CVE CVE-2017-11215

GRUPO Adobe Flash

Se detectó un problema en Adobe Flash Player 27.0.0.183 y versiones anteriores. Esta vulnerabilidad es una instancia de un uso después de una vulnerabilidad libre en Primetime SDK, que podría provocar corrupción del código, un secuestro del flujo de control o un ataque que causaría la fuga de información. La explotación exitosa podría generar la ejecución de un código arbitrario.

18

CVE NINGUNA

GRUPO Mozilla Firefox

Según su versión, hay, al menos, una aplicación Mozilla sin soporte técnico (Firefox, Thunderbird o SeaMonkey) instalada en el host remoto. Esta versión del software ya no cuenta con mantenimiento activo. La falta de soporte supone que el proveedor no lanzará nuevos parches de seguridad para el producto. En consecuencia, es probable que contenga vulnerabilidades de seguridad.

19

CVE CVE-2015-0008

GRUPO Microsoft OS

Una vulnerabilidad en la ruta de búsqueda no confiable en la biblioteca MFC en Microsoft Visual Studio .NET permite a los usuarios locales obtener privilegios a través de un archivo troyano dwmapi.dll en el directorio de trabajo actual durante la ejecución de una aplicación MFC como AtlTraceTool8.exe (también se conoce como "ATL MFC Trace Tool").

20

CVE CVE-2018-4944

GRUPO Adobe Flash

Las versiones de Adobe Flash Player 29.0.0.140 y anteriores tienen una vulnerabilidad de confusión de tipo explotable. La explotación exitosa podría generar la ejecución de un código arbitrario en el contexto del usuario actual.

23 %

23 %

23 %

22 %

22 %

22 %

22 %

Figura 13. Gráfico de las 20 principales vulnerabilidades (el porcentaje se basa en las empresas afectadas)

18

Informe de INTELIGENCIA DE VULNERABILIDADES

CONCLUSIONES Ya que el 61 % de todas las vulnerabilidades que las empresas detectan en sus entornos son de gravedad Alta, las organizaciones de seguridad se enfrentan al desafío de determinar qué vulnerabilidades representan realmente un riesgo y priorizar las más críticas para maximizar los recursos limitados de reparación. Cuando todo es urgente, la selección de prioridades falla. En promedio, una empresa encuentra 870 CVE en 960 activos por día.18 Esto significa que las metodologías de priorización en función de la reparación de estas CVE de gravedad Alta aún dejan a la empresa promedio con más de 548 vulnerabilidades por día para evaluar y priorizar, a menudo, en varios sistemas. También fue interesante ver la diferencia entre el riesgo local y el riesgo global. Algunos proveedores, como las distribuciones de Linux, como Red Hat, Oracle y Novell SUSE, ocupan los primeros puestos en la cantidad de CVE distintas presentes en una empresa, pero su impacto en términos de cuántas organizaciones se ven afectadas es bajo. Estos representan un riesgo local: alto para la organización afectada, pero no así indefectiblemente para la mayor parte de la población mundial de Internet. Por supuesto, este riesgo sigue dependiendo de la función y del contexto precisos del activo. También vimos que otros proveedores, como Microsoft (.NET y Office), Adobe (Flash) y Oracle (Java), tienen una cantidad comparativamente baja de vulnerabilidades distintas, pero afectan a una gran cantidad de empresas y activos. Estos representan un riesgo global, ya que afectan a una cantidad importante de empresas y activos en todo el mundo.

Conocimientos adquiridos del campo Como mencionamos en la sección anterior, cada participante en la entrevista tenía algún tipo de protocolo estándar para priorizar la reparación de vulnerabilidades, por lo general, una combinación de puntaje CVSS y datos contextuales sobre activos y configuración. También analizaron los estándares para las tareas de colocación de parches y reparación dentro de sus organizaciones. Todos tenían algún tipo de fecha límite inamovible para reparar todas las vulnerabilidades, una cantidad máxima de tiempo en el que se debería permitir que una vulnerabilidad subsista en un sistema sin que se la mitigue.

“

19

durante más de 30 días, el personal comenzará a recibir llamadas y mucha atención.

En el caso de las vulnerabilidades críticas, hacemos parches dentro de los 30 días. Si es una vulnerabilidad Crítica que es muy explotable y esta abierta a Internet, el plazo es de siete días. Esto significa que si detecta una vulnerabilidad Struts 2 u otra de las que acaban de publicarse, usted tiene que repararla de inmediato. En el caso de una vulnerabilidad Alta, el plazo es de 60 días; en el caso de una vulnerabilidad Media, es de 90 días, y, en el caso de una vulnerabilidad Baja, es de 120 días.

Esto no necesariamente es congruente con nuestros datos que muestran muchas vulnerabilidades antiguas que continúan existiendo en las redes, algunas de las cuales se remontan a más de una década y que todavía se encuentran en las redes. Parte de esta discrepancia puede deberse a excepciones internas también mencionadas por varios entrevistados.

“

“

Si algún problema está abierto

“

Si hay algo que no se resuelve en ese plazo, necesitamos que los propietarios (el propietario del sistema, el propietario del producto, no necesariamente el propietario de la infraestructura) completen un formulario de excepción de riesgo que es un proceso muy problemático porque tienen que justificarlo ante muchas personas que validan el motivo por el cual se requiere la excepción.

Para mí, es conocer lo desconocido. Siempre me pregunto: ¿hemos escaneado y hemos tenido en cuenta todo? Informe de INTELIGENCIA DE VULNERABILIDADES

VULNERABILIDADES DE NAVEGADORES WEB Y DE APLICACIONES Decidimos profundizar en las vulnerabilidades de navegadores web y de aplicaciones. Los ataques del lado del cliente dirigidos a este tipo de vulnerabilidades son muy importantes en el entorno de amenazas actual. Estas aplicaciones generalmente se encuentran en clientes y estaciones de trabajo, a menudo, utilizadas por personal que no pertenece a la división de TI y suelen ser móviles, remotas y distribuidas. Además, la evaluación de estos tipos de vulnerabilidades exige un escaneo con agente o autenticado y con credenciales, ya que esto requiere acceso al sistema local. Estos factores hacen que las vulnerabilidades de navegadores web y de aplicaciones sean un área de enfoque intrigante.

PUNTOS IMPORTANTES Las vulnerabilidades de gravedad Alta de Firefox dominan las 10 principales vulnerabilidades de navegadores web, ya que representan el 53 % del total. Esto está fuera de proporción con su

participación en el mercado actual de poco más del 10 %. Un análisis más profundo muestra que

muchas de las vulnerabilidades de Firefox presentes en entornos empresariales datan de varios años. Sin embargo, Firefox no se actualiza ni se elimina.

Oracle Java muestra un fenómeno similar, ya que se detectaron muchas vulnerabilidades concentradas en los años 2011 a 2017. Las instalaciones de Java heredadas siguen siendo una causa principal de las vulnerabilidades persistentes.

Las vulnerabilidades antiguas de Microsoft IE y Office también se destacan de manera importante.

Adobe Flash continúa esta tendencia, a pesar de que el contenido web activo de Flash ha disminuido notablemente, y Adobe planea suspender el soporte en 2020.

Hay aplicaciones antiguas, discontinuadas y al final de su vida útil todavía disponibles en entornos empresariales. Las aplicaciones heredadas son una fuente importante de riesgo residual.

20

Informe de INTELIGENCIA DE VULNERABILIDADES

VULNERABILIDADES DE NAVEGADORES WEB Muchas amenazas actuales explotan las vulnerabilidades del lado del cliente y tienen a los navegadores web en su lista de objetivos. Estos ataques generalmente funcionan mediante lo siguiente: • La aplicación de ingeniería social para que el usuario navegue a un sitio web malicioso o abra un archivo o script malicioso que luego explota el navegador web vulnerable. • La vulneración de un sitio web legítimo para implementar contenido malicioso que explota el navegador web vulnerable de la víctima. Entre los límites fortalecidos y la creciente adopción de tecnologías en la nube, el ataque del usuario suele ser el punto de entrada más eficaz a una empresa. En el caso de los usuarios domésticos, es la única forma. El robo de credenciales financieras y de identidad, los botnets, la minería de criptomonedas, el ransomware, el espionaje y la extorsión cibernética son todas actividades delictivas asociadas a estos tipos de ataques.

ANÁLISIS Nuestro conjunto de datos incluyó 1065 CVE de navegadores web únicas en cinco proveedores principales detectadas desde marzo hasta agosto de 2018. Distribución de CVE Altas en comparación con CVE totales

• Apple Safari • Google Chrome • Microsoft Edge

GRAVEDAD BAJA Y MEDIA 37%

• Microsoft Internet Explorer (IE) • Mozilla Firefox

675

de las 1065

(el 63 %)

GRAVEDAD ALTA 63%

Gravedad baja y media

CVE de navegadores web detectadas tenían una gravedad Alta.

CVE de gravedad alta

Figura 14. Distribución de CVE de gravedad Alta en comparación con CVE totales de todas las gravedades

Distintas CVE de navegadores web de gravedad alta Mozilla Firefox

Google Chrome

Mozilla Firefox tuvo la cantidad más alta de CVE detectadas.

Microsoft IE

Apple Safari

Microsoft Edge 0

50

100

150

200

250

300

350

400

Figura 15. Recuento de CVE de navegadores web de gravedad Alta

21

Informe de INTELIGENCIA DE VULNERABILIDADES

Cuando observamos la distribución de CVE de gravedad Alta por navegador web, dominan las CVE de Firefox con el 53 % del total. Chrome ocupa el segundo lugar con un 23 %.

CVE de gravedad Alta por navegador Participación en el mercado

62 %

Gravedad alta

53 %

Gravedad alta

23 %

Gravedad Participación en el alta mercado

14 %

Participación en el mercado

11,87 %

10,79 %

Participación en el Gravedad mercado alta

Gravedad Participaalta ción en el mercado

Microsoft IE

Google Chrome

Mozilla Firefox

Microsoft Edge

Apple Safari

7 %

4,29 %

3 %

3,83 %

Figura 16. Distribución de CVE de gravedad Alta por navegador web y participación en el mercado del navegador web (fuente: NetMarketShare, 2018)

Con solo el 10,79 % de participación en el mercado de su navegador, Firefox representa el 53 % de todas las vulnerabilidades de gravedad Alta. Esta discrepancia se puede explicar parcialmente cuando examinamos los años de publicación de las CVE detectadas. Aunque Firefox se ha visto reemplazado lentamente por Google Chrome como el navegador líder, parece que hay muchas versiones más antiguas e inactivas circulando libremente. Las vulnerabilidades de Firefox no se reparan.

CVE de gravedad Crítica y Alta por navegador y año Año de publicación CPE (Grupo)

2003

2004

2005

2006

2007

2008

2009

2010

2011

2012

2013

2014

2015

2016

2017

2018

Apple Safari

4

4

4

4

4

4

4

5

4

4

2

6

6

7

4

3

Mozilla Firefox

32

5

6

7

8

12

32

19

19

34

32

40

51

40

37

18

5

5

5

5

5

5

5

18

21

19

5

15

28

21

16

10%

4

12

1.

12

12

9

Google Chrome Microsoft Edge

1.

Microsoft IE

2

4

1.

8

6

6

6

8

8

14

12

6

Recuento único de CVE 1

22

51

Figura 17. CVE de navegadores web de gravedad Crítica y Alta predominantes por año de publicación

Informe de INTELIGENCIA DE VULNERABILIDADES

10 Las

PRINCIPALES VULNERABILIDADES DE NAVEGADORES WEB

A continuación, detallamos las 10 principales vulnerabilidades de navegadores web para entornos empresariales.

1

CVE CVE-2018-6153

GRUPO Google Chrome

Google Chrome es vulnerable a un desbordamiento del búfer de pilas (estructura de datos), causado por la verificación de límites inadecuada llevada a cabo por Skia. Tras persuadir a una víctima para que visite un sitio web diseñado especialmente, un atacante remoto podría desbordar un búfer y ejecutar un código arbitrario en el sistema o provocar que la aplicación se bloquee.

2

CVE CVE-2015-6136

GRUPO Microsoft IE

Los motores Microsoft VBScript de Internet Explorer 8 a 11 y otros productos permiten a los atacantes remotos ejecutar un código arbitrario a través de un sitio web diseñado específicamente (también se conoce como “Scripting Engine Memory Corruption Vulnerability” [Vulnerabilidad de corrupción de memoria en el motor de scripting]).

3

CVE CVE-2018-6130

GRUPO Google Chrome

Acceso de Google Chrome a la memoria fuera de límites en WebRTC.

4

CVE CVE-2017-8517

GRUPO Microsoft IE

Los navegadores de Microsoft permiten que un atacante ejecute un código arbitrario en el contexto del usuario actual cuando no se pueden ejecutar los motores de JavaScript al manejar objetos en la memoria de los navegadores de Microsoft (también se conoce como "Scripting Engine Memory Corruption Vulnerability" [Vulnerabilidad de corrupción de memoria del motor de scripting]).

5

CVE NINGUNA

28 %

26 %

25 %

GRUPO Mozilla Firefox

Según su versión, hay, al menos, una aplicación Mozilla sin soporte técnico (Firefox, Thunderbird o SeaMonkey) instalada en el host remoto. Esta versión del software ya no cuenta con mantenimiento activo. La falta de soporte supone que el proveedor no lanzará nuevos parches de seguridad para el producto. En consecuencia, es probable que contenga vulnerabilidades de seguridad.

23

30 %

22 %

Informe de INTELIGENCIA DE VULNERABILIDADES

6

CVE CVE-2018-12359

GRUPO Mozilla Firefox

Se puede producir un desbordamiento del búfer al ejecutar el contenido del lienzo mientras se ajusta dinámicamente la altura y el ancho del elemento , lo que genera que los datos se escriban fuera de los límites calculados actualmente. Esto genera un bloqueo que es probable que se explote.

7

CVE CVE-2018-6085, CVE-2018-6086

GRUPO Google Chrome

Dos vulnerabilidades críticas de uso después de la liberación en memoria caché de disco de Google Chrome en hosts de Windows.

8

CVE CVE-2018-5150, CVE-2018-5151,

CVE-2018-5154, CVE-2018-5155, CVE-2018-5159

CVE CVE-2018-5126, CVE-2018-5128

GRUPO Mozilla Firefox

Varias vulnerabilidades de Mozilla Firefox, que incluyen corrupción de memoria y permiten la ejecución de código arbitrario y una vulnerabilidad de uso después de la liberación.

CVE CVE-2018-5148

20 %

GRUPO Mozilla Firefox

Varias vulnerabilidades de Mozilla Firefox, que incluyen corrupción de memoria y uso después de liberarse, lo que permite la ejecución de código remoto.

9

21 %

GRUPO Mozilla Firefox

La versión de Mozilla Firefox Extended Support Release (ESR) instalada en el host remoto de Windows es anterior a 59.0.2. Por lo tanto, se ve afectado por un error de uso después de la liberación que causa una vulnerabilidad de denegación de servicio.

18 %

17 %

16 %

Figura 18. Las 10 principales vulnerabilidades de navegadores web (el porcentaje se basa en las empresas afectadas)

24

Informe de INTELIGENCIA DE VULNERABILIDADES

CONCLUSIONES La participación en el mercado de los navegadores ha cambiado notablemente en los últimos años. Los líderes del pasado, como Firefox e Internet Explorer, ahora están muy por detrás de Google Chrome. Lamentablemente, las vulnerabilidades en estos navegadores no han seguido la misma disminución, ya que existen versiones sin soporte y heredadas en un número considerable de empresas. Lo interesante es la antigüedad de muchas de estas vulnerabilidades, ya que los actores de amenazas, especialmente los desarrolladores de kit del exploit, aún están apuntando activamente a ellas. Firefox domina la lista de CVE más predominantes, ya que representa el 53 % de todas las vulnerabilidades de gravedad alta con solo una participación en el mercado de aproximadamente el 10 %. La gran mayoría de estas CVE tienen entre dos y ocho años, con algunas pocas excepciones que se remontan a 2004.

“

Conocimientos adquiridos del campo El motivo más común que he observado es que se trata de sistemas antiguos, que tienen que estar disponibles o que simplemente no se pueden retirar porque todavía tienen alguna funcionalidad de producción crítica.

Aunque con una prevalencia más baja del 14 %, Microsoft IE aún evidencia vulnerabilidades de manera desproporcionada respecto de su participación en el mercado, e incluso, en empresas que solo utilizan Microsoft, está siendo desplazado por Edge. Muchas de las vulnerabilidades de IE detectadas entre marzo y agosto de 2018 también tienen mucha antigüedad, y, en algunos casos, se remontan a la última década. Las ocho principales CVE de navegadores web afectaron a más del 20 % de las empresas en un solo día de evaluación, con un máximo del 30 %. Eso representa una cantidad importante de organizaciones con vulnerabilidades de navegadores web de gravedad Alta en su población de activos.

25 Informe de INTELIGENCIA DE VULNERABILIDADES

VULNERABILIDADES DE APLICACIONES Las vulnerabilidades de aplicaciones representan otro conjunto de CVE activamente blanco de los actores de amenazas que circulan libremente en diversos ataques, que van desde la ejecución por explotación y la piratería de criptomonedas hasta la suplantación de identidad (phishing). Estas vulnerabilidades mayoritariamente se encuentran en estaciones de trabajo de usuarios finales y de clientes. Debido a que existe fuerza laboral muy distribuida y móvil que utiliza varias plataformas y sistemas operativos, mantener el control de su evaluación y reparación de estas vulnerabilidades está plagado de muchos desafíos técnicos. Debido a la inclusión común de las siguientes aplicaciones en los kits del exploit, ransomware, suplantación de identidad (phishing) y otros ataques, observamos lo siguiente: • Adobe Flash • Adobe PDF • Microsoft .NET

• Microsoft Office • Oracle Java

En total, en las cinco aplicaciones, había 704 vulnerabilidades distintas presentes en los entornos empresariales. Y 609 de las 704 CVE fueron de gravedad Alta.

MEDIA 13% BAJA 0%

Distintas CVE de aplicaciones por gravedad

ALTA 87%

Baja

Media

Alta

Microsoft .NET Figura 19. CVE de aplicaciones por gravedad

Adobe PDF

CVE de aplicaciones por tipo de aplicación ORACLE JAVA 29%

Adobe Flash

ADOBE FLASH 18% ADOBE PDF 10%

Oracle Java Microsoft Office 0

MICROSOFT .NET 5%

50

100

150

Factor de riesgo alto

200

250

300

Factor de riesgo medio

Figura 21. Distintas CVE de aplicaciones por gravedad

MICROSOFT OFFICE 38% Figura 20. CVE de aplicaciones por tipo de aplicación

Cuando evaluamos todas las CVE detectadas por las empresas, Microsoft Office se destaca con una gran cantidad de CVE de gravedad Alta y el mayor recuento general en total. Oracle Java viene en segundo lugar en general.

26

“

El otro problema es que muchos sistemas críticos están agrupados en un solo sistema. Aunque tiene 9 de 10 con parches, hay un servidor web que no puede manejar un nuevo parche de Java y todos están atascados.

Informe de INTELIGENCIA DE VULNERABILIDADES

Adobe Flash y PDF están, en realidad, en la mitad inferior en términos de CVE distintas detectadas, en general, en entornos empresariales.

20 principales CVE de aplicaciones de gravedad Críticas y Alta

ORACLE JAVA 15%

Cuando las reducimos a las 20 principales vulnerabilidades de las aplicaciones que afectan a la mayoría de las empresas, vemos que el 50 % son Adobe Flash. Una vez más, vemos que la cantidad de CVE no necesariamente se traduce también en un gran número de activos afectados. Por ejemplo, es de destacar que Adobe PDF no se encuentre entre las 20 principales. Sin embargo, Microsoft Office parece contradecir esta tendencia, al quedar en segundo lugar en las 20 principales con un 20 %, lo que representa el recuento más alto de CVE en general.

MICROSOFT OFFICE 20%

ADOBE FLASH 50%

MICROSOFT .NET 15%

Figura 22. Distribución de aplicaciones por vulnerabilidades de aplicaciones

Cuando agregamos el año de publicación de la vulnerabilidad en el mapa de calor que aparece a continuación, podemos ver claramente que muchas CVE de Oracle Java tienen varios años de antigüedad, con concentraciones en 2013, 2015 y 2017. Esto se parece mucho al fenómeno que vimos en el caso de Firefox en el desglose de vulnerabilidades de navegadores web con versiones heredadas que no se han actualizado ni eliminado. Mapa de calor de distintas CVE por fecha de publicación Fecha de publicación CPE (Grupo)

2003

2004

2005

2006

2007

2008

2009

2010

2011

2012

2013

2014

2015

2016

2017

2018

Adobe Flash

2

4

1.

3

3

2

3

5

12

15

13

16

21

12

12

7

Adobe PDF

32

5

6

4

3

3

11

8

11

5

6

7

3

8

4

3

Microsoft .NET

5

5

5

5

1.

5

5

4

3

5

6

6

7

Microsoft Office

1.

2

3

14

10%

20

12

33

18

16

23

16

26

25

34

24

1.

1.

1.

9

9

6

7

14

12

66

20

32

26

35

12

Oracle Java

7

Recuento distintivo de CVE 1

66

Figura 23. Mapa de calor: vulnerabilidades en entornos empresariales por fecha de publicación

Las aplicaciones de Microsoft Office también muestran una gran cantidad de CVE más antiguas detectadas. Parece haber, al menos, una correlación superficial con las versiones de Microsoft Office,19, con concentraciones en 2006, 2010 y 2013, y un aumento visible en las vulnerabilidades a partir de 2016. Lo que es preocupante es que todavía existe una cantidad considerable de vulnerabilidades en los entornos que se remontan a 2006.

27

Informe de INTELIGENCIA DE VULNERABILIDADES

El desglose que aparece a continuación (vea la Figura 24) brinda una descripción general de la cantidad total de distintas vulnerabilidades de aplicaciones que afectaron los entornos empresariales. En el caso de la mayoría de las aplicaciones, la proporción de vulnerabilidades de gravedad Alta en comparación con la gravedad informacional y Baja y Media es más del 80 %. Por ejemplo, el 82 % de CVE de Oracle Java se califican como Altas.

ALTA

242 % ALTA

89%

211 ALTA

172 % ALTA

82%

TOTAL

125 ALTA

116 % ALTA

93%

69 ALTA

65 % ALTA

94%

Microsoft .NET

273

TOTAL

Adobe PDF

TOTAL

Adobe Flash

TOTAL

Oracle Java

Microsoft Office

Las metodologías de priorización más comunes fallarán en esa proporción. En realidad, la solución aquí no es realizar un parchado. Por el contrario, se trata de eliminar versiones no compatibles y heredadas.

TOTAL

37

ALTA

21

% ALTA

57%

Figura 24. CVE de aplicaciones distintas en los entornos empresariales

Al factorizar las empresas y los activos que realmente se ven afectados por las 10 principales vulnerabilidades de aplicaciones más predominantes, en realidad, observamos que Microsoft .NET, Oracle Java y Adobe Flash son objeto del impacto más generalizado (vea la Figura 25).

Impacto de prevalencia por tipo de aplicación 280K

Factor de riesgo Microsoft .NET

260K

Crítica Alta

Oracle Java

Recuento máx. de activos promedio

240K Adobe Flash

220K 200K 180K 160K

Microsoft Office

140K

Microsoft .NET

120K

% de empresas en comparación con el recuento máximo de activos promedio. El color, el tamaño y la forma muestran detalles sobre el factor de riesgo. Las marcas se etiquetan por CPE (grupo) El contexto se filtra en CPE (grupo), que mantiene Adobe Flash, Adobe PDF, Microsoft. NET, Microsoft Office y Oracle Java. La vista se filtra por el factor de riesgo, que conserva las vulnerabilidades de gravedad Crítica y Alta.

Adobe Flash

100K Adobe PDF

80K Adobe PDF

60K 40K Microsoft Office

20K 0K

0% 2%

4%

6%

8%

10%

12%

14%

16% 18% 20% 22%

24%

26%

28% 30% 32% 34%

Figura 25. Impacto de prevalencia por tipo de aplicación

% de empresas 28

Informe de INTELIGENCIA DE VULNERABILIDADES

VULNERABILIDADES DE APLICACIONES Y EXPLOTABILIDAD La correlación entre nuestros datos de prevalencia y la inteligencia para detectar vulnerabilidades sobre la explotabilidad, (vea la Figura 26) arroja una imagen mucho más alarmante. Hay exploits públicos disponibles para la cantidad increíble del 79 % de las actualizaciones de seguridad que abordan las vulnerabilidades de Adobe Flash de gravedad Alta detectadas como faltantes por las empresas en sus entornos. En el caso de Adobe PDF, la cifra es del 96 %. El porcentaje más bajo en el grupo es del 41 %. Exploits disponibles FALSO 21% VERDADERO

FALSO 6%

FALSO 59%

VERDADERO

79%

VERDADERO

94%

Adobe PDF

Adobe Flash Exploit disponible

VERDADERO

41%

VERDADERO

62%

Microsoft .NET

Exploit disponible

FALSO 53%

FALSO 38% 47%

Microsoft Office

Exploit disponible

Oracle Java

Exploit disponible

Exploit disponible

Figura 26. Actualizaciones de seguridad de aplicaciones y disponibilidad de exploits públicos.

Como se muestra en el gráfico que aparece a continuación (Figura 27), existen exploits públicos disponibles para casi todas las actualizaciones de seguridad de Adobe Flash que las empresas detectan como faltantes en sus entornos. Si tenemos en cuenta que el contenido habilitado para Flash en Internet ha disminuido considerablemente20 y ya no tendrá soporte a partir de 2020, casi no vale la pena tener Flash instalado. Sin embargo, representa un enorme riesgo residual.

Gravedad distinta y crítica, y explotabilidad de Adobe Flash 25

20

15

10%

5

0 2003

2004

2005

2006

2007

2008

2009

Malware incluido

2010

2011 Exploit

2012

2013

2014

2015

2016

2017

2018

Total

Figura 27. Actualizaciones de seguridad y disponibilidad de exploits de Adobe Flash

29

Informe de INTELIGENCIA DE VULNERABILIDADES

10 % Las

PRINCIPALES VULNERABILIDADES DE APLICACIONES

A continuación, detallamos las 10 principales vulnerabilidades de aplicaciones para entornos empresariales.

1

CVE CVE-2018-8284

GRUPO

Microsoft .NET

Existe una vulnerabilidad de ejecución de código remoto cuando Microsoft .NET Framework no puede validar la entrada correctamente (también se conoce como “.NET Framework Remote Code Injection Vulnerability” [Vulnerabilidad de inyección de código remoto en .NET Framework]).

2

CVE CVE-2018-2938

GRUPO

Oracle Java

Vulnerabilidad en el componente incorporado Java SE de Oracle Java SE (subcomponente: Java DB). Si bien la vulnerabilidad se encuentra en Java SE, los ataques pueden afectar en gran medida a otros productos. Los ataques exitosos de esta vulnerabilidad pueden provocar la toma de control de Java SE.

3

CVE CVE-2018-1039

GRUPO

Microsoft .NET

Existe una vulnerabilidad de evasión de la función de seguridad en .NET Framework que podría permitir a un atacante eludir a Device Guard (también se conoce como “.NET Framework Device Guard Security Feature Bypass Vulnerability” [Vulnerabilidad de evasión de la función de seguridad Device Guard en .NET Framework]).

4

CVE CVE-2018-5002

GRUPO

Adobe Flash

Las versiones de Adobe Flash Player 29.0.0.171 y anteriores tienen una vulnerabilidad de desbordamiento del búfer de pilas (estructura de datos). La explotación exitosa podría generar la ejecución de un código arbitrario en el contexto del usuario actual.

5

CVE CVE-2018-5007

GRUPO

Adobe Flash

Adobe Flash Player 30.0.0.113 y versiones anteriores tienen una vulnerabilidad de Confusión de tipo. La explotación exitosa podría generar la ejecución de un código arbitrario en el contexto del usuario actual.

30

32 %

28 %

28 %

23 %

23 %

Informe de INTELIGENCIA DE VULNERABILIDADES

6

CVE CVE-2018-4944

GRUPO Adobe Flash

Las versiones de Adobe Flash Player 29.0.0.140 y anteriores tienen una vulnerabilidad de confusión de tipo explotable. La explotación exitosa podría generar la ejecución de un código arbitrario en el contexto del usuario actual.

7

CVE CVE-2018-8248

GRUPO Microsoft Office

Existe una vulnerabilidad de ejecución de código remoto en el software de Microsoft Excel cuando no puede manejar adecuadamente los objetos en la memoria. Un atacante que aprovechó con éxito la vulnerabilidad podría ejecutar un código arbitrario en el contexto del usuario actual. Si el usuario actual inició sesión con derechos de usuario administrativo, un atacante podría tomar el control del sistema afectado.

8

CVE CVE-2018-8147, CVE-2018-8148,

CVE-2018-8157, CVE-2018-8158, CVE-2018-8161

CVE CVE-2018-4935, CVE-2018-4937

GRUPO Adobe Flash

Adobe Flash Player 29.0.0.113 y versiones anteriores tienen una vulnerabilidad de escritura fuera de límite explotable. La explotación exitosa podría generar la ejecución de un código arbitrario en el contexto del usuario actual.

10

CVE CVE-2018-4919, CVE-2018-4920

21 %

GRUPO Microsoft Office

Existe una vulnerabilidad de ejecución de código remoto en el software de Microsoft Office cuando no puede manejar adecuadamente los objetos en la memoria (también se conoce como “Microsoft Office Remote Code Execution Vulnerability” [Vulnerabilidad de ejecución de código remoto de Microsoft Office]).

9

22 %

GRUPO Adobe Flash

Las versiones de Adobe Flash Player 28.0.0.161 y anteriores tienen una vulnerabilidad de uso después de liberación y confusión de tipo explotables. La explotación exitosa podría generar la ejecución de un código arbitrario en el contexto del usuario actual.

20 %

20 %

19 %

Figura 28. Las 10 principales vulnerabilidades de aplicaciones (el porcentaje se basa en las empresas afectadas)

CONCLUSIONES Identificamos muchas CVE de Oracle Java que tienen varios años de antigüedad, con concentraciones en 2013, 2015 y 2017. Esto se parece mucho al fenómeno que vimos en el caso de Firefox en el desglose de vulnerabilidades de navegadores web con versiones heredadas que no se han actualizado ni eliminado. Las aplicaciones de Microsoft Office también muestran una gran cantidad de CVE más antiguas detectadas. Parece haber, al menos, una correlación superficial con las versiones de Microsoft Office, 21 con concentraciones en 2006, 2010 y 2013, y un aumento visible en las vulnerabilidades a partir de 2016. Lo que es preocupante es que todavía existe una cantidad considerable de vulnerabilidades en los entornos que se remontan a 2006. Hay exploits públicos disponibles para el 79 % de las vulnerabilidades de Adobe Flash detectadas en entornos empresariales. En el caso de Adobe PDF, la cifra es del 96 %. El porcentaje más bajo en el grupo es del 41 %. Existen exploits públicos disponibles para casi todas las vulnerabilidades de Adobe Flash que las empresas detectan en sus entornos. Si tenemos en cuenta que el contenido habilitado para Flash en Internet ha disminuido considerablemente22 y ya no tendrá soporte a partir de 2020, casi no vale la pena tener Flash instalado. Sin embargo, representa un enorme riesgo residual.

31

Informe de INTELIGENCIA DE VULNERABILIDADES

Vulnerabilidades de alto perfil A principios de este año, Tenable Research lanzó su equipo de Respuesta de seguridad, que brinda alertas de respuesta rápida y confecciona informes de incidentes y eventos relacionados con la ciberseguridad en desarrollo y actuales, especialmente aquellos relacionados con las vulnerabilidades. Desde su formación, el equipo ha iniciado respuestas a 40 incidentes de alto perfil. Estos representan incidentes importantes, como se definen en una escala de calificación que considera la gravedad, el impacto y la prevalencia de una vulnerabilidad. También consideramos si existe una vulnerabilidad en una tecnología clave para una industria específica, incluso si no está muy distribuida.

32 Informe de INTELIGENCIA DE VULNERABILIDADES

CRONOLOGÍA DE VULNERABILIDADES A continuación, se muestra una descripción general de los aspectos más destacados hasta agosto de 2018. Puede encontrar los informes detallados de cada uno de ellos en el Blog de Tenable.

2018RESPUESTAS DE SEGURIDAD

Exploit del día cero del programador de tareas de Windows

28 DE AGOSTO

Vulnerabilidad de Apache Struts

Circula libremente: se insta a tener cuidado

Una nueva vulnerabilidad en Apache Struts podría permitir la ejecución remota de código

Activado por un tuit de un investigador descontento; este error de escalación de privilegios fue explotado de forma rápida mientras circulaba libremente y fue aprovechado por malware. Lamentablemente Microsoft tardó más de dos semanas en solucionar este problema.

Adquisición de la base de datos Oracle JavaJM (base de datos)

22 DE AGOSTO

15 DE AGOSTO

El 22 de agosto, escribimos en el blog sobre otra RCE remota en Struts. Struts es muy común, es muy difícil colocar un parche contra él y ha sido una fuente periódica de filtraciones de datos de alto perfil y artículos noticiosos. Lamentablemente no hay atajos para la seguridad aquí; ¡el saber qué tiene (exposición cero) y la colocación de parches disciplinada (Mejores prácticas) son fundamentales!

Adquisición de base de datos de Oracle mediante el componente JavaVM

14 DE AGOSTO

Foreshadow (CPU)

Nuevas vulnerabilidades de canal del lado de ejecución especulativa de Intel

Faxsploit (dispositivo)

14 DE AGOSTO

Ejecución de código remoto a través de protocolos de fax de HP

31 DE JULIO

Cisco ASA (Cisco)

Cisco ASA/FXOS/NX-OS solucionado con parche crítico: ya estaba siendo explotado

Underminer (Malware)

Minería de criptomonedas a través del nuevo vector EK

26 DE JUNIO

El 6 de junio, Cisco lanzó 34 parches, incluidos cinco calificados como críticos. Se observó la explotación CVE-2018-0301 circulando libremente dos semanas después de la publicación de la advertencia. Cisco fue nuestra fuente más importante de respuestas de seguridad crítica a comienzos del 2018.

13 DE JUNIO

Falla de validación del código de Apple (Apple)

Validación inadecuada de herramientas de terceros en la plataforma Apple

8 DE JUNIO

Cisco ACS (Cisco)

RCE en Cisco Secure ACS

7 DE JUNIO

Falla de Adobe Flash Player (Adobe)

Día cero de Adobe Flash objeto de exploitación en el Medio Oriente

Zip Slip (Aplicaciones de Window)

6 DE JUNIO

Escritura de archivo arbitrario con Zip Slip

22 DE MAYO

Variantes de Spectre/Meltdown (CPU)

Spectre/Meltdown II 33

Informe de INTELIGENCIA DE VULNERABILIDADES

17 DE MAYO

Inyección de DHCP en Red Hat (Protocolo)

Dynoroot permite una raíz remota a través de la inyección de DHCP en derivados de Red Hat

14 DE MAYO

Efail (Protocolo)

Descifrado de correos electrónicos cifrados de PGP a través de clientes de correo

11 DE MAYO

Vulnerabilidad POP SS/MOV SS (CPU)

Malos entendidos entre desarrolladores generaron una vulnerabilidad local de Intel

9 DE MAYO

Deserialización de Oracle WebLogic T3 (Oracle)

Martes de parchado en el mes de mayo de 2018 para vulnerabilidades explotadas

1 DE MAYO

Error de deserialización de Oracle WebLogic T3 con parchado incorrecto

Locura del mes de mayo de Microsoft (martes de parchado) (Microsoft)

27 DE ABRIL

IE Double Kill (Microsoft)

Error Double Kill en Internet Explorer

17 DE ABRIL

Dispositivos de infraestructura de red (Dispositivos) Ataque de dispositivos de red por parte de piratas patrocinados por el estado ruso

11 DE ABRIL

Cisco Smart Install (Cisco)

Función Cisco Smart Install objeto de abuso circulando libremente

6 DE ABRIL

RCE de Windows Defender (Microsoft)

El proyecto Cero de Google detecta vulnerabilidad en Windows Defender

3 DE ABRIL

Cisco IOS POC (Cisco)

Embedi detectó vulnerabilidad en Cisco Smart Install

Núcleo crítico de Drupal (aplicación de Internet)

29 DE MARZO

RCE no autenticado de Drupal a través de solicitud de HTTP

28 DE MARZO

Sam Sam Ransomware (Malware)

Descripción general y actualización de Sam Sam Ransomware

Slingshot Malware (Malware)

19 DE MARZO

Slingshot Malware usa dispositivo IoT en ataques específicos

CANTIDAD DE EXPLOITS EMPRESARIALES Cisco: 4

Problemas de protocolo: 4

Microsoft: 4

Oracle: 2

Errores en CPU: 3

Adobe: 1

Malware: 3

Aplicaciones de Windows: 1

IoT: 2

Aplicaciones en Internet: 1

El 28 de marzo, Tenable inició una Respuesta de seguridad mediante el blog y la protección de complementos para esta amenaza única y muy difundida. SamSam ha llevado el ransomware a niveles completamente nuevos utilizando herramientas sofisticadas y ataques específicos, y muestra cómo los atacantes con experiencia y determinación en combinación con prácticas de seguridad deficientes pueden representar un error muy costoso.

Figura 29. Respuestas de seguridad: 2018

34

Informe de INTELIGENCIA DE VULNERABILIDADES

Conocimientos adquiridos del campo Las vulnerabilidades fueron la gran noticia en 2018. Casi al inicio del año, Meltdown y Spectre causaron mucha confusión e interrupciones en enero.

“

Al principio, hubo mucho pánico y, luego, empezamos a evaluarlas, al igual que la forma de mitigarlas, y había mucha confusión. Pasamos mucho tiempo, tuvimos muchas sesiones en grupos pequeños para abordar el tema de Meltdown y Specter, solo para identificar cuáles eran, en realidad, los riesgos. Durante un tiempo, ni siquiera se encontró evidencia de código de concepto. [...] En términos de ejecución de código remoto, no habíamos visto ninguna opción viable todavía. Así que seguimos aplicando rápidamente actualizaciones de BIOS durante un tiempo.

Los profesionales de la seguridad indicaron que esta no era la primera o la última vez que las vulnerabilidades o los incidentes que llegaban a los titulares de las noticias los obligaban a ajustar sus programas de gestión de vulnerabilidades. Vincularon estos ajustes a algunas prioridades diferentes. En algunos casos, se trataba de garantizar que el CISO o el CIO estuvieran preparados para responder las preguntas de otros ejecutivos, clientes y los medios de comunicación.

“

Escuchan algo en las noticias y piensan: “Ahora me harán preguntas en cuanto llegue y no quiero parecer un idiota porque la división de ciberseguridad está a mi cargo. Así que tengo que demostrar que estoy al tanto de las cosas”. Y, a menudo, no les importa realmente cuál es el problema de seguridad, se reduce a cómo los afecta directamente.

En otros casos, se trataba de garantizar que la organización no se viera sorprendida por un atacante debido al aprovechamiento de una vulnerabilidad conocida.

“

35

Cuando aparece algo como Struts 2, tenemos iniciativas empresariales donde nos comunicamos con todas las unidades de negocios que tienen diferentes recursos, diferentes tecnologías; lo cual hace que uno se pregunte: “¿Somos susceptibles a esta vulnerabilidad en toda la empresa?”. Debido al tamaño, por ejemplo, de la nuestra, su descubrimiento es algo para lo cual se necesitan muchos recursos, a menos que se cuente con un programa implementado que pueda manejar todo esto.

Informe de INTELIGENCIA DE VULNERABILIDADES

Contribuyentes INVESTIGACIÓN PRINCIPAL Paul Davis, Vulnerabilidades de Alto Perfil Oliver Rochford, Diseño de la Investigación y Análisis de Datos Lucas Tamagna-Darr, Datos de Tendencias de CVE y CVSS Claire Tills, Investigación Cualitativa Andrew Tracey, Ciencia de los Datos

EXPERTOS EN LA MATERIA Anthony Bettini, Director Sénior de Ingeniería Rajiv Motwani, Director de Investigación, Detección de Vulnerabilidades Thomas Parsons, Director Sénior de Gerencia de Productos

36

Informe de INTELIGENCIA DE VULNERABILIDADES

Anexo CALIFICACIONES DE GRAVEDAD DE CVSS A lo largo del documento, hacemos referencia a “gravedad” y “calificación de gravedad”. La siguiente tabla traduce las gravedades descriptivas en calificaciones numéricas de CVSS. Oficialmente, CVSSv2 no reconoce una calificación de gravedad Crítica.

Calificaciones CVSS v2.0

Calificaciones CVSS v3.0

Gravedad

Rango de puntuaciones básicas

Gravedad

Rango de puntuaciones básicas

Baja

0 - 3,9

Ninguna

0

Media

4 - 6,9

Baja

0,1 - 3,9

Alta

7 - 10

Media

4 - 6,9

Alta

7 - 8,9

Crítica

9 - 10

AÑOS DE REVELACIÓN DE CVE Si bien se publicaron 15.038 CVE con el identificador CVE-2017-XXXX, algunas de ellas se publicaron en 2018. Lo que significa que, en realidad, se publicaron 10.959 CVE en 2017. Esto brinda una idea del retraso actual en materia de CVE.

37

Informe de INTELIGENCIA DE VULNERABILIDADES

Metodología CONJUNTO DE DATOS El conjunto de datos se compone de datos de prevalencia de vulnerabilidades: • Para un período de marzo a agosto de 2018 • Que contiene más de 900.000 evaluaciones de vulnerabilidades

• De 2100 empresas individuales • De 66 países

Empleamos este conjunto de datos para determinar las vulnerabilidades más predominantes.

PREVALENCIA Calculamos la “prevalencia” en función del número máximo de empresas afectadas en un día de escaneo específico. Seleccionamos empresas afectadas, en lugar de la cantidad de activos afectados porque queríamos una medida que nos permitiera determinar cuántas organizaciones tenían que enfrentar una vulnerabilidad. Basar la prevalencia en el recuento de activos afectados implicaría que inevitablemente algunas tecnologías (por ejemplo, los dispositivos de red o los servidores) no formen parte de la lista principal. La mayoría de las empresas tienen miles de estaciones de trabajo con Windows, pero solo docenas o cientos de servidores. Pero casi todas las empresas tienen servidores y estaciones de trabajo en general. Utilizamos el recuento más elevado en un día de empresas afectadas para obtener una indicación clara de la escala y eliminar la necesidad de explicar anomalías cuando se trabaja con promedios y vulnerabilidades de diferentes antigüedades. En el caso de la proporción de empresas afectadas, tenemos un recuento total de empresas (N) de 2100.

CVE EN COMPARACIÓN CON VULNERABILIDADES En rigor, las vulnerabilidades no son CVE. Una sola vulnerabilidad puede recibir varias CVE. Por ejemplo, existen CVE únicas para la misma vulnerabilidad en varios sistemas operativos (por ejemplo, Firefox en Windows, Red Hat Linux o SUSE Linux). Decidimos contabilizar cada CVE como una vulnerabilidad distinta. Desde un punto de vista empresarial, son vulnerabilidades diferentes, ya que necesitan diversos parches o pasos de reparación. Utilizamos datos de telemetría anónimos recopilados de nuestra plataforma Tenable.io® conforme a nuestro acuerdo de licencia de usuario final (EULA) para investigar tendencias y temas básicos para la ciberseguridad. En nuestra investigación e informes relacionados, no utilizamos datos de telemetría de otros productos de Tenable, como Nessus® o Tenable.sc™ (anteriormente SecurityCenter).

METODOLOGÍA DE ENTREVISTA Para agregar una perspectiva real a estos datos, también realizamos 12 entrevistas con profesionales de la seguridad tanto a nivel de gerente como de analista. Estas conversaciones que duraron una hora se centraron en la estrategia y en la práctica de la gestión de vulnerabilidades para comprender mejor cómo se elaboraron, en realidad, determinadas “mejores prácticas”. Las preguntas se centraron en los indicadores clave de rendimiento para la gestión de vulnerabilidades, como la frecuencia de escaneo y el tiempo de reparación, así como preguntas estratégicas de alto nivel sobre cómo funcionan los equipos de seguridad dentro de organizaciones complejas. Las entrevistas se analizaron mediante codificación descriptiva y de patrones. Las categorías iniciales se basaron en temas para el informe.

38

Informe de INTELIGENCIA DE VULNERABILIDADES

Notas finales 1. MITRE Corporation lleva a cabo el mantenimiento de CVE 2. https://cve.mitre.org/ 3. Ver el Anexo 4. C  onforme a Tenable Intelligence 5. Investigación principal, Inteligencia de Vulnerabilidades de Tenable 6. https://es-la.tenable.com/blog/the-equifax-breach-a-cyber-wtf-moment 7. h  ttps://es-la.tenable.com/blog/wannacry-three-actions-you-can-take-right-now-to-prevent-ransomware 8. “State of Security Response”, (Estado de la Respuesta de Seguridad) Ponemon/ServiceNow, 2018 9. https://es-la.tenable.com/blog/quantifying-the-attacker-s-first-mover-advantage 10. h  ttps://es-la.tenable.com/blog/how-mature-are-your-cyber-defender-strategies 11. “State of Security Response” (Estado de la Respuesta de Seguridad), Ponemon/ServiceNow, 2018 12. https://www.csoonline.com/article/3300753/security/congress-pushes-mitre-to-fix-cve-program-suggests-regular-reviews-andstable-funding.html 13. https://nvd.nist.gov/ 14. Ejemplo de un estudio académico sobre este tema: https://www.sciencedirect.com/science/article/pii/S2210832717302995 15. https://nvd.nist.gov/vuln/detail/CVE-2017-1000391 16. https://jenkins.io/security/advisory/2017-11-08 17. Conforme a Tenable Intelligence 18. Conforme a Tenable Intelligence 19. https://en.wikipedia.org/wiki/History_of_Microsoft_Office 20. h  ttps://www.bleepingcomputer.com/news/security/google-chrome-flash-usage-declines-from-80-percent-in-14-to-under-8percent-today/ 21. https://en.wikipedia.org/wiki/History_of_Microsoft_Office 22. h  ttps://www.theregister.co.uk/2017/07/25/flash_nahuh_internets_screen_door_gone_for_good_by_2020

39

Informe de INTELIGENCIA DE VULNERABILIDADES

INVESTIGACIÓN

7021 Columbia Gateway Drive Suite 500 Columbia, MD 21046 Norteamérica +1 (410) 872-0555 es-la.tenable.com

11/18  V01 COPYRIGHT 2018 TENABLE, INC. TODOS LOS DERECHOS RESERVADOS. TENABLE, TENABLE.IO, TENABLE NETWORK SECURITY, NESSUS, SECURITYCENTER, SECURITYCENTER CONTINUOUS VIEW Y LOG CORRELATION ENGINE SON MARCAS COMERCIALES REGISTRADAS DE TENABLE, INC. TENABLE.SC, LUMIN, ASSURE Y THE CYBER EXPOSURE COMPANY SON MARCAS COMERCIALES DE TENABLE, INC. EL RESTO DE LOS PRODUCTOS O SERVICIOS SON MARCAS COMERCIALES DE SUS RESPECTIVOS DUEÑOS.