Conclusiones clave Los investigadores de Cyble investigaron 17 vulnerabilidades y seis exploits de la dark web en la semana del 21 al 27 de agosto. Los investigadores identificaron tres vulnerabilidades en particular, en productos de SonicWall, Traccar y Fortra, como merecedoras de atención de alta prioridad. Los escáneres de vulnerabilidades de Cyble detectaron casi 1 millón de activos web expuestos a las principales vulnerabilidades y exploits de la dark web de la semana, y los dispositivos SonicWall y Fortinet representaron más de 941.000 vulnerabilidades expuestas. Los investigadores de Cyble también advirtieron que una vulnerabilidad de autorización incorrecta de gravedad 9,8 en las versiones afectadas de Apache OFbiz corre el riesgo de ser explotada masivamente. Descripción general El informe semanal de vulnerabilidades de Cyble del 21 al 27 de agosto encontró la mayor cantidad de activos vulnerables expuestos en casi tres meses, desde que se encontró una vulnerabilidad generalizada de PHP a principios de junio. Los investigadores de Cyble encontraron más de 529.000 firewalls SonicWall expuestos con la vulnerabilidad de control de acceso inadecuado CVE-2024-40766 con calificación 9.3, y casi 412.000 dispositivos Fortinet expuestos con las vulnerabilidades críticas de desbordamiento de búfer basado en pila CVE-2022-42475 y CVE-2023-27997. Si bien las vulnerabilidades de FortiOS datan de fines de 2022 y mediados de 2023, Cyble detectó recientemente un actor de amenazas que vendía código de explotación para las vulnerabilidades en un foro clandestino, lo que aumenta la urgencia de que los usuarios corrijan las vulnerabilidades. En total, las principales vulnerabilidades de la semana totalizaron poco menos de 1 millón de exposiciones vulnerables, la cifra más alta desde la vulnerabilidad de PHP CVE-2024-4577 con calificación 9.8 a principios de junio que expuso una cantidad similar de activos. Pero esta semana también ha demostrado que una vulnerabilidad no necesita tener una alta puntuación de criticidad CVSS o una gran cantidad de activos expuestos. CVE-2024-39717, una vulnerabilidad de carga de archivos sin restricciones en servidores Versa Director con solo 33 exposiciones vulnerables detectadas por Cyble y una calificación de 7.2, fue explotada en ataques por actores de amenazas vinculados a China contra ISP, MSP y un número desconocido de clientes posteriores. En total, los investigadores de Cyble investigaron 17 vulnerabilidades esta semana, además de vulnerabilidades adicionales de ICS y exploits de la web oscura. Los investigadores se centraron en tres en particular, en productos de SonicWall, Traccar y Fortra, por merecer atención de alta prioridad por parte de los equipos de seguridad. Además, Cyble advirtió que la vulnerabilidad de autorización incorrecta de gravedad 9.8 en las versiones afectadas de Apache OFbiz (CVE-2024-38856) podría enfrentar «explotación masiva debido a su naturaleza, la disponibilidad de prueba de conceptos (POC) en el dominio público y la amplia exposición en Internet del producto afectado». Las principales vulnerabilidades de la semana: SonicWall, Traccar y Fortra Aquí hay tres vulnerabilidades de alta prioridad con mayor detalle. CVE-2024-40766: Acceso de administración de SonicWall SonicOS Esta vulnerabilidad de control de acceso inadecuado afecta a SonicWall SonicOS Management Access, una interfaz basada en web que se utiliza para configurar, administrar y monitorear los dispositivos de seguridad de red de SonicWall. Permite a los administradores controlar la configuración del firewall, las VPN y otras funciones de seguridad. Esta vulnerabilidad permite que un atacante no autenticado obtenga acceso no autorizado a la interfaz de administración, lo que puede llevar a la manipulación de la configuración del firewall, la exposición de información confidencial de la red y potencialmente provocar fallas del firewall. ¿Exposición a Internet? Sí ¿Parche disponible? Sí CVE-2024-6633: Fortra FileCatalyst Workflow Esta vulnerabilidad de divulgación de información de gravedad crítica que afecta a Fortra FileCatalyst Workflow 5.1.6 Build 139 (y anteriores) está potencialmente al borde de una explotación activa, ya que la explotación de la vulnerabilidad se basa en las credenciales predeterminadas para la base de datos HSQL de configuración (HSQLDB) para FileCatalyst Workflow que se publica en un artículo de la base de conocimientos del proveedor. La vulnerabilidad otorga a un atacante no autenticado acceso remoto a la base de datos, hasta e incluyendo la manipulación/exfiltración de datos de la base de datos y la creación de usuarios administradores, aunque sus niveles de acceso aún están protegidos. ¿Exposición a Internet? Sí ¿Parche disponible? Sí CVE-2024-31214 y CVE-2024-24809: Traccar 5 Estas dos vulnerabilidades de recorrido de ruta relacionadas afectan a Traccar 5. Traccar es un popular sistema de seguimiento GPS de código abierto utilizado por personas tanto para uso personal como por empresas para la gestión de flotas. Un atacante no autenticado puede explotar estas vulnerabilidades si el «registro de invitados» está habilitado (la configuración predeterminada), lo que podría provocar una ejecución remota de código (RCE). ¿Exposición en Internet? Sí ¿Parche disponible? Sí Vulnerabilidades y exploits discutidos en el underground Los investigadores de Cyble también observaron varias otras vulnerabilidades que se discutían en foros y canales underground, lo que aumentó el perfil de estas seis vulnerabilidades entre los atacantes. Un administrador de canal de Telegram compartió una POC para CVE-2024-28000, una vulnerabilidad crítica de asignación incorrecta de privilegios en el complemento LiteSpeed ​​de LiteSpeed ​​Technologies que permite la escalada de privilegios. Un actor de amenazas en un foro underground estaba vendiendo código de explotación para dos vulnerabilidades de desbordamiento de búfer basadas en heap, CVE-2022-42475 y CVE-2023-27997, que afectan a FortiOS. El mismo TA también discutió una vulnerabilidad de credenciales codificada, CVE-2024-28987, que afecta al software SolarWinds Web Help Desk (WHD). Esta vulnerabilidad permite a los usuarios remotos no autenticados acceder a la funcionalidad interna y modificar los datos. Otro TA compartió una supuesta PoC para CVE-2024-3183, una vulnerabilidad encontrada en FreeIPA. Cuando un TGS-REQ de Kerberos se cifra utilizando la clave de sesión del cliente, puede permitir que un atacante ejecute ataques de fuerza bruta para encontrar cadenas de caracteres capaces de descifrar tickets cuando se combinan con una sal principal. Cyble observó otro TA que ofrecía código de explotación para CVE-2024-38063, una vulnerabilidad crítica de ejecución remota de código TCP/IP de Windows analizada en el informe de la semana pasada. Nuestras recomendaciones Para protegerse contra estas vulnerabilidades y explotaciones, las organizaciones deben implementar las siguientes prácticas recomendadas de ciberseguridad: 1. Implementar los últimos parches Para mitigar las vulnerabilidades y protegerse contra las explotaciones, actualice periódicamente todos los sistemas de software y hardware con los últimos parches de los proveedores oficiales. 2. Implemente un proceso sólido de administración de parches Desarrolle una estrategia integral de administración de parches que incluya administración de inventario, evaluación de parches, pruebas, implementación y verificación. Automatice el proceso cuando sea posible para garantizar la consistencia y la eficiencia. 3. Implemente una segmentación de red adecuada Divida su red en segmentos distintos para aislar los activos críticos de las áreas menos seguras. Use firewalls, VLAN y controles de acceso para limitar el acceso y reducir la superficie de ataque expuesta a amenazas potenciales. 4. Plan de respuesta y recuperación ante incidentes Cree y mantenga un plan de respuesta a incidentes que describa los procedimientos para detectar, responder y recuperarse de incidentes de seguridad. Pruebe y actualice regularmente el plan para garantizar su efectividad y alineación con las amenazas actuales. 5. Monitoreo y registro de actividades maliciosas Implemente soluciones integrales de monitoreo y registro para detectar y analizar actividades sospechosas. Use sistemas SIEM (Gestión de eventos e información de seguridad) para agregar y correlacionar registros para la detección y respuesta de amenazas en tiempo real. 6. Realice un seguimiento de las alertas de seguridad Suscríbase a avisos y alertas de seguridad de proveedores oficiales, CERT y otras fuentes autorizadas. Revise y evalúe periódicamente el impacto de estas alertas en sus sistemas y tome las medidas adecuadas. 7. Visibilidad de los activos Mantenga un inventario actualizado de todos los activos internos y externos, incluidos hardware, software y componentes de red. Utilice herramientas de gestión de activos y monitoreo continuo para garantizar una visibilidad y un control integrales sobre su entorno de TI. 8. Política de contraseñas seguras Cambie las contraseñas predeterminadas de inmediato y aplique una política de contraseñas segura en toda la organización. Implemente la autenticación multifactor (MFA) para proporcionar una capa adicional de seguridad y reducir significativamente el riesgo de acceso no autorizado. Relacionado