Según informes de diversas empresas de ciberseguridad, se ha producido un aumento significativo de los ciberataques que buscan vulnerabilidades de software sin parchear en múltiples dispositivos. Estos ataques buscan vulnerabilidades de dominio público para las que aún no existen actualizaciones de seguridad o bien, no se han instalado todavía.
Por esta razón, al analizar los datos de los ataques que han sido neutralizados por los sistemas en los meses anteriores. Los investigadores especializados en amenazas cibernéticas han identificado cientos de miles de escaneos y ataques automatizados al día. Todo ello con cifras que a veces se elevan a millones.
Del mismo modo, los datos apuntan también a miles de escaneos diarios de las vulnerabilidades que tiene Microsoft y VMware. Las cuales han sido parcheadas hace poco, según los analistas e investigadores.
Las empresas de seguridad reflejan la vulnerabilidad de Microsoft
Uno de estos casos que remiten las empresas de ciberseguridad, es la búsqueda de una vulnerabilidad de Microsoft denominada Hafnium. Dicha vulnerabilidad ha sido revelada por primera vez en marzo del año en curso, la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Microsoft Exchange, permite al hacker enviar solicitudes HTTP aleatorias y autenticarse como el servidor de Exchange propiamente dicho.
Por otro lado, se le conoce como CVE-2021-21972 a una vulnerabilidad de carga de archivos, la cual no está autorizada en un vCenter Server. El problema inicia con la falta de autenticación de un complemento del vCenter en diversos productos de VMware. Estos productos varían entre el VMware ESXi y vSphere Client, pertenecientes a HTML5.
En un principio, las empresas de ciberseguridad habían detectado dicha vulnerabilidad en el complemento de vCenter que viene dentro del vRealize Operations. De tal modo que el aviso de vulnerabilidad de VMware confirma que los complementos se incluyen en todas las instalaciones predeterminadas del mismo. Por ello, la vulnerabilidad se hace presente en cualquier instalación que incluye vRealize Operations.
Por esta razón, un hacker malicioso con acceso de red al puerto 443, puede sacar ventaja de este inconveniente. Puede usarlo para ejecutar comandos con privilegios sin restricción alguna, en el sistema operativo que esté alojando al vCenter Server.
Muchos hackers maliciosos identifican vulnerabilidades fácilmente
Por otro lado, la vulnerabilidad CVE-2021-26855 es utilizada para identificar los sistemas en riesgo. Desencadenando el resto de vulnerabilidades con la finalidad de obtener acceso y llevar a cabo una mayor explotación. Esto incluyendo el lanzamiento de web shells en los sistemas vulnerados.
Esto según la información disponible y que todo el mundo la puede ver. Del mismo modo, esta vulnerabilidad permite a un hacker poder subir un archivo arbitrario, para luego poder ejecutar comandos del sistema arbitrariamente sin autenticación previa.
En el mes de marzo, hubo un aumento en la búsqueda de las vulnerabilidades de vez en cuando con escaneos regulares. Todo ello a través de los sensores y despliegues en todo el mundo, que luego se redujo a niveles más bajos, según los expertos. También, ha habido un sondeo regular de CVE-2021-21972 con un cierto descenso en la incidencia de escaneos.
Es por ello que las vulnerabilidades de software, las que causan mayor impacto en lo particular. Siguen siendo escaneadas y han sido explotadas durante mucho tiempo. Esto después de la publicación de parches y minimizaciones de riesgos.
Las empresas de ciberseguridad deben estar al día con los parches de protección
Los atacantes entienden que las empresas de ciberseguridad no siempre tienen el tiempo o el ancho de banda para mantenerse al día con los parches permanentemente. Además, no pueden identificar en todo momento las cosas se introducen sutilmente, proporcionándoles una forma fácil de entrar en las redes.
Es por esta razón que los expertos esperan ver algún repunte en los escaneos de vez en cuando. Todo ello a medida que los hackers avanzan en la lista de vulnerabilidades conocidas de alto impacto.
Para obtener protección contra los ataques automatizados que se aprovechan de las vulnerabilidades de software conocidas, las empresas deben buscar una solución WAAP (Servicios de Protección de Aplicaciones Web y API, por sus siglas en inglés), que incluya la minimización de bots.
Además, debe incluir la protección contra ataques DDoS, seguridad de las API y la protección contra el relleno de credenciales. Por último, deben asegurarse de que las defensas están configuradas correctamente. Con el Máster en Ciberseguridad, no tendrás problema alguno de poner a prueba tus conocimientos en seguridad informática. Ya que te ofrece las herramientas necesarias para proteger los sistemas de tu organización.
