[16/05/2024] Forescout Technologies dio a conocer una nueva investigación titulada Exposing the Exploited, un análisis que descubre una serie de vulnerabilidades explotadas que no son capturadas por el catálogo CISA KEV, la fuente más popular de información sobre vulnerabilidades explotadas que se sabe que son explotadas activamente por los actores de amenazas. Según lo señalado en el comunicado de prensa, Exposing the Exploited detalla cómo una dependencia excesiva de las bases de datos de información heredadas y la guía estándar subrepresenta drásticamente el panorama global de amenazas. El estudio fue realizado por Forescout Research - Vedere Labs, un equipo global dedicado a descubrir vulnerabilidades y amenazas a la infraestructura crítica.
"Las vulnerabilidades se están encontrando, armando y explotando en la naturaleza más rápido que nunca, con 97 0-days explotados en el 2023 y ya 27 este año", comentó Elisa Costante, vicepresidenta de investigación de Forescout Research - Vedere Labs. "Las metodologías actuales para catalogar problemas, como el sistema de Vulnerabilidades y Exposiciones Comunes (CVE) de MITRE y la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST, son herramientas críticas, pero tienen limitaciones significativas. Esta investigación muestra que incluso el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) de FIRST, el Sistema de Puntuación de Predicción de Exploits (EPSS) y las Vulnerabilidades Explotadas Conocidas (KEV) de CISA no deben usarse exclusivamente".
Los investigadores de Forescout encontraron un aumento significativo en las vulnerabilidades explotadas no reconocidas en la naturaleza sin identificadores CVE ni puntuaciones CVSS. Los principales hallazgos incluyen:
- Las vulnerabilidades sin CVE están creciendo. Forescout encontró recientemente 90 mil vulnerabilidades sin un ID de CVE, y este número aumenta cada año. El 44% de las vulnerabilidades sin un ID de CVE se pueden usar para obtener acceso a un sistema, y el 37% tienen una gravedad alta o crítica.
- Ninguna base de datos lo capturó todo. Se identificaron 2.087 vulnerabilidades explotadas distintas en cuatro bases de datos, pero ninguna base de datos contenía toda la información. CISA-KEV tenía 1.055 (50%) del total de vulnerabilidades explotadas. 968 vulnerabilidades explotadas (47%) se ven en una sola base de datos y solo 90 (4%) se ven en las cuatro.
- Las redes de los clientes mostraron miles de dispositivos afectados. Los dispositivos se vieron afectados por 28 vulnerabilidades en el catálogo (VL-KEV) y no fueron rastreados por la lista CISA KEV. La mayoría de estos dispositivos eran sistemas de alimentación ininterrumpida (UPS), computadoras, impresoras, bombas de infusión y equipos de red.
- La mayoría de las vulnerabilidades explotadas tenían una gravedad alta (44%) o crítica (39%). Las causas raíz más comunes de las vulnerabilidades explotadas fueron las inyecciones de comandos del sistema operativo, los recorridos de rutas, la validación de entrada incorrecta y la escritura fuera de límites.
- Los objetivos más comunes fueron las aplicaciones web, los sistemas operativos y los routers. Los dispositivos OT e IoT fueron el quinto objetivo más común. Los dispositivos OT e IoT más explotados fueron el almacenamiento conectado a la red (NAS), las cámaras IP, los dispositivos de automatización de edificios y los equipos VoIP.
"El rápido aumento de las vulnerabilidades descubiertas y explotadas por actores maliciosos subraya la necesidad de un nuevo enfoque para la priorización. Si bien la lista CISA KEV es un recurso valioso y el catálogo más reconocido para vulnerabilidades explotadas, tiene ciertas limitaciones. Nuestro análisis revela que el catálogo de CISA KEV no es exhaustivo: hemos observado vulnerabilidades explotadas en la naturaleza que están ausentes de este catálogo. Además, a menudo faltan detalles cruciales sobre cómo se explotan estas vulnerabilidades, como el modus operandi, las tácticas, técnicas y procedimientos (TTP) y los indicadores de compromiso (IoC) asociados. Por lo tanto, las organizaciones deben confiar en múltiples fuentes para mejorar su preparación”, indicó Costante.
Franca Cavassa, CTOPerú