Log4j ha dominado las discusiones recientes sobre las vulnerabilidades de seguridad cibernética, pero la aparición de la falla de seguridad de la biblioteca de registro de Java ha permitido que los delincuentes cibernéticos abusen de otras vulnerabilidades importantes y pasen desapercibidas, lo que podría poner a muchas organizaciones en riesgo de ransomware y otros ataques cibernéticos.
El enfoque en Log4j, descrito en ese momento como una de las vulnerabilidades de ciberseguridad más graves que jamás haya surgido, fue comprensiblemente el problema clave para los equipos de ciberseguridad empresarial en las últimas semanas de 2021.
Pero los investigadores de seguridad cibernética de Digital Shadows han detallado varias otras vulnerabilidades que aparecieron el año pasado, o que son incluso más antiguas y continúan sin parchearse y explotarse, que pueden haberse pasado por alto y continúan brindando oportunidades para los ciberdelincuentes.
VER: Una estrategia ganadora para la ciberseguridad (Informe especial de MarketingyPublicidad.es)
Si no se reparan estas vulnerabilidades, las empresas podrían tener consecuencias potencialmente peligrosas, ya que los piratas maliciosos las explotan para lanzar ataques de ransomware, campañas de malware y otras actividades delictivas cibernéticas.
En total, los investigadores identificaron 260 vulnerabilidades que se explotaron activamente para ataques en el último trimestre de 2021, y un tercio de ellas, un total de 87 vulnerabilidades, se utilizaron en asociación con campañas de ransomware.
Un conjunto de vulnerabilidades que es particularmente popular entre los grupos de ransomware son los errores de ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que se descubrieron inicialmente en julio de 2021 y que permiten a los atacantes encadenar vulnerabilidades de Microsoft Exchange. para ejecutar código de forma remota en servidores sin parches.
Varios grupos de ransomware siguen explotando estas vulnerabilidades, incluido Conti, una de las operaciones de ransomware más activas del año pasado. Ese proceso significa que cualquier organización que no haya parcheado ProxyShell durante los seis meses posteriores a la divulgación corre el riesgo de ser víctima de ransomware y otros ataques de malware.
Otra vulnerabilidad que continúa siendo explotada afecta a los dispositivos de almacenamiento conectado a la red (NAS) de QNAP. La vulnerabilidad de autorización que afecta al QNAP NAS con HBS 3 (CVE-2021-28799) se identificó en abril de 2021 y se aprovechó rápidamente para generar el ransomware QLocker.
Los grupos de ransomware continúan apuntando a los dispositivos QNAP vulnerables casi un año después, con nuevas formas de ransomware, incluido el ransomware DeadBolt, que se aprovecha de los sistemas vulnerables.
Pero no solo se explotan vulnerabilidades relativamente recientes: los investigadores señalan que una vulnerabilidad en Microsoft Office, que permite a los atacantes secuestrar Microsoft Word o Microsoft Excel para ejecutar código malicioso (CVE-2012-0158), todavía se usa para entregar ataques de ransomware, y eso es una década después de la divulgación.
Es posible que las organizaciones ni siquiera sean conscientes de que existen algunas de estas vulnerabilidades y ese desconocimiento podría convertirlas en un objetivo principal para los ciberdelincuentes que están felices de explotar todo lo que puedan para lanzar ataques.
«Los ciberdelincuentes son intrínsecamente oportunistas. No es necesario que haya un día cero exótico o una vulnerabilidad similar que ‘toma todo el oxígeno’ en la habitación», dijo a MarketingyPublicidad.es Joshua Aagard, analista de investigación de Digital Shadows: los atacantes suelen ser más pragmáticos, apoderarse de lo que funciona, independientemente de la visibilidad.
La administración de parches puede ser una tarea desafiante, especialmente para las grandes organizaciones con vastas redes de TI, pero una estrategia de parches coherente y oportuna es una de las formas más efectivas de ayudar a prevenir que las vulnerabilidades conocidas se utilicen para lanzar ataques cibernéticos.
«Adoptar un enfoque basado en el riesgo es el método más efectivo para atacar las vulnerabilidades, lo que en última instancia tendrá el impacto más significativo en la reducción de su riesgo cibernético general», dijo Aagard.