Durante los primeros siete meses y medio de 2024, el número de vulnerabilidades y exposiciones comunes (CVE) recién descubiertas se disparó un 30% interanual, de 17.114 a 22.254, según los datos publicados por los investigadores de Qualys. Sin embargo, de esta enorme cantidad de fallas, apenas una centésima parte (204 o el 0,9 %) fueron utilizadas como arma por actores de amenazas, dijo Qualys, la mayoría de los cuales explotan aplicaciones públicas o servicios remotos, que son útiles para obtener acceso inicial y realizar movimientos laterales. Leída a primera vista, esta estadística puede parecer una buena noticia, pero ofrece solo un escaso consuelo para los profesionales cibernéticos, dijo Qualys, ya que estas vulnerabilidades aún representan una amenaza significativa y requieren medidas defensivas cada vez más específicas. «Esta fracción muy pequeña de vulnerabilidades representa las amenazas más graves. «Este subconjunto representa el riesgo más alto, caracterizado por exploits armados, explotación activa a través de ransomware, uso por actores de amenazas, malware o instancias confirmadas de explotación salvaje», dijo el gerente de producto de la Unidad de Investigación de Amenazas (TRU) de Qualys, Saeed Abbasi. «Para mitigar de manera efectiva tales amenazas, es crucial priorizar las vulnerabilidades explotadas activamente, aprovechar la inteligencia de amenazas y programar análisis regularmente para detectar nuevas vulnerabilidades. Una herramienta de gestión de vulnerabilidades que integre inteligencia de amenazas podría ser fundamental para una empresa». Según el ejercicio de recopilación y análisis de datos de Qualys, las vulnerabilidades más explotadas de 2024 hasta la fecha son las siguientes: CVE-2024-21887, una falla de inyección de comandos en Ivanti Connect y Policy Secure Web; CVE-2023-46805, una falla de omisión de autenticación remota en Ivanti Connect y Policy Secure Web; CVE-2024-21412, una falla de omisión de funciones de seguridad en Microsoft Windows; CVE-2024-21893, una falla de elevación de privilegios en Ivanti Connect y Policy Secure Web; CVE-2024-3400, una falla de inyección de comandos en Palo Alto Networks PAN-OS; CVE-2024-1709, una falla de omisión de autenticación en ConnectWise ScreenConnect; CVE-2024-20399, una falla de inyección de comandos de interfaz de línea de comandos en Cisco NX-OS Software;CVE-2024-23897, una falla de ejecución de código remoto en Jenkins Core; CVE-2024-21762, una falla de escritura fuera de límites en Fortinet FortiOS; CVE-2023-38112, una falla de suplantación de la plataforma MSHTLM en Microsoft Windows. Con la excepción de la vulnerabilidad de Jenkins Core, todas las vulnerabilidades del top 10 de Qualys también aparecen en el catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), que obliga a aplicar parches en todos los organismos gubernamentales de Estados Unidos. Muchas de estas vulnerabilidades, en particular las del conjunto de productos de Ivanti y ConnectWise ScreenConnect, ya han estado en el centro de algunos de los incidentes de ciberseguridad más impactantes del año hasta ahora. La última vulnerabilidad de la lista, en la plataforma MSHTML de Windows, se reveló hace solo unas semanas en la actualización del martes de parches de julio y, aunque es probable que haya sido explotada desde 2023, su inclusión en la lista de las 10 principales de Qualys sirve como advertencia a los administradores de la velocidad con la que los actores de amenazas detectan las vulnerabilidades publicitadas. Las vulnerabilidades antiguas demuestran su valor La tendencia general al alza en los volúmenes de CVE subraya una «escalada persistente y sustancial» en el descubrimiento de vulnerabilidades, explicó Abbasi. «El aumento de CVE refleja la creciente complejidad del software y el uso más amplio de la tecnología, lo que requiere estrategias de gestión de vulnerabilidades avanzadas y dinámicas para mitigar las amenazas de seguridad cibernética en evolución», dijo. Sin embargo, el análisis de Qualys TRU también ha indicado un aumento en el uso de CVE antiguos como arma este año. Si bien los errores más antiguos a menudo resurgen y se desarrollan exploits mucho después de la divulgación, ha habido un aumento del 10% en este tipo de actividad en lo que va de año. Abbasi dijo que esto era un “duro recordatorio” de que la seguridad no se trataba solo de mantenerse por delante de los actores de amenazas, sino también de no quedarse atrás de ellos. Muchas de las vulnerabilidades más antiguas que circulan como armas han sido tendencia en la red oscura durante meses, un ejemplo destacado es CVE-2023-43208 en NextGen Mirth Connect Java XStream, muy utilizado por el sector de la salud. Y justo esta semana, CISA agregó un error de ejecución de código remoto de seis años de antigüedad en Microsoft COM al catálogo de KEV, después de que los investigadores de Cisco Talos descubrieran que estaba siendo explotado por una APT del gobierno chino en una cadena de ataques utilizada contra una víctima taiwanesa. “Este resurgimiento de vulnerabilidades previamente identificadas, que afectan principalmente a los servicios remotos y las aplicaciones públicas, destaca un descuido significativo en la actualización y aplicación de los protocolos de ciberseguridad. Este resurgimiento enfatiza la necesidad de pasar de una postura de seguridad puramente reactiva a un enfoque más proactivo, predictivo y preventivo”, advirtió Abbasi.