Vulnerabilidades críticas acechan a la fuerza de trabajo remota
Desde el inicio de la pandemia de COVID-19, las organizaciones pequeñas, medianas y grandes han tenido que adaptarse a un entorno de “home office”. Para algunas empresas, el trabajo remoto no es una novedad, pero para muchas es un gran desafío implementarlo con poca anticipación. Con una fuerza laboral más distribuida y dispositivos que se conectan a las nuevas redes domésticas, la superficie de ataque cibernética ahora es más amplia para muchas organizaciones. Para abordar esto, las empresas están priorizando los esfuerzos de seguridad cibernética con el objetivo de proteger sus activos en entornos recientemente remotos.
Según Luis Isselin, Country Manager de Tenable en México, en estos tiempos inciertos en donde los equipos de trabajo se conectan desde diferentes lugares, fuera de las instalaciones de la organización, la ciberseguridad implica identificar, priorizar y abordar las vulnerabilidades que representan el mayor riesgo para los activos críticos.
“Tan solo en 2019, se detectaron más de 17.300 vulnerabilidades, de acuerdo con el Reporte de National Vulnerability Database 2019, pero la clave es centrarse en aquellas que presentan el mayor riesgo. Cada vulnerabilidad recibe una puntuación (CVSS) para identificar el alcance y la gravedad de la vulnerabilidad. Sin embargo, los cambios en el impacto de una vulnerabilidad no siempre se toman en cuenta hasta mucho más tarde, cuando es demasiado tarde. Estos indicadores no deben pasarse por alto, pero no se puede confiar solo en ellos para seleccionar las vulnerabilidades más riesgosas. Es por esto que la priorización es crítica para abordar y parchar primero los problemas más urgentes. Tenable otorga un índice de priorización a estas vulnerabilidades, la clasificación de prioridad de vulnerabilidad (VPR), que tiene en cuenta no solo el CVSS, sino que también utiliza algoritmos de aprendizaje automático junto con inteligencia de amenazas”, comentó Isselin.
A continuación se muestra la lista de vulnerabilidades que los equipos de ciencia de datos y respuesta de seguridad han identificado como las más críticas para que las organizaciones apliquen parches para proteger tanto su superficie de ataque en expansión como su fuerza de trabajo remota.
Las soluciones que permiten a las organizaciones utilizar el “home office” generalmente incluyen software VPN SSL como Pulse Connect Secure, FortiGate, GlobalProtect y Citrix Application Delivery Controller y Gateway para proporcionar acceso seguro a la red empresarial. Se han descubierto varias vulnerabilidades en estas aplicaciones particulares que han sido ampliamente explotadas por los ciber atacantes, por lo que las organizaciones deben asegurarse de que se hayan parchado correctamente.
Los servicios de escritorio remoto son muy eficientes para conectar a las personas virtualmente a las máquinas dentro de la organización como si estuvieran físicamente ahí. Sin embargo, se emitió una alerta reciente para CVE-2019-0708, una vulnerabilidad de ejecución de código remoto en este servicio llamada “BlueKeep”, que inicialmente se comparó con “WannaCry” debido a su potencial para facilitar los ataques de manera generalizada. Si bien esto no sucedió, la vulnerabilidad fue explotada varios meses después, por lo que sigue siendo un área que debe ser monitoreada con frecuencia para detectar intentos de explotación e identificar objetivos RDP expuestos.
Microsoft Office es una de las suites de software más utilizadas por las organizaciones a nivel mundial. Componentes como Mirosoft Word y Excel han sido frecuentemente atacados por ciberdelincuentes a lo largo de los años. Una de las vulnerabilidades más notables explotadas por los ciberdelincuentes incluye CVE-2017-11882, una falla en el componente Editor de Ecuaciones de Microsoft Word. Observaciones recientes han demostrado que los ciberdelincuentes están aprovechando esta falla en los archivos adjuntos de documentos maliciosos dentro de los correos electrónicos utilizando la pandemia como señuelo.
Los kits de explotación se refieren al software diseñado por ciberdelincuentes para identificar la presencia de software popular en la máquina de una víctima y elegir qué vulnerabilidad es apropiada para explotar. Si bien las vulnerabilidades en Adobe Flash Player, como CVE-2018-15982 y CVE-2018-4878, han sido un elemento básico de varios kits de exploits, el final de la vida útil de Adobe Flash Player junto con el cambio a HTML5 ha obligado a los kits a remover completamente las vulnerabilidades de Flash Player y buscar otras para utilizar en su lugar. Una de estas es CVE-2018-8174, una vulnerabilidad en el motor VBScript que ha sido favorecida en los kits de explotación “Double Kill” para corromper dos objetos de memoria.
¨Es esencial que en estos tiempos de incertidumbre y con nuevas formas de trabajo, las organizaciones entiendan su riesgo cibernético y sepan cómo abordarlo mejor. La implementación de un programa de gestión de vulnerabilidades basado en el riesgo puede ayudar a las empresas a tomar mejores decisiones para proteger su fuerza de trabajo de forma remota”, concluyó Isselin.