En 2024, se informó de la explotación de 768 vulnerabilidades con
identificadores CVE designados, frente a las 639 CVE de 2023, lo que supone un
aumento del 20% interanual. El informe de la CISA sobre las principales
vulnerabilidades explotadas de forma rutinaria siempre es una buena lectura.
VulnCheck describió 2024 como «otro año destacado para los actores de amenazas que apuntan a la
explotación de vulnerabilidades» y afirmó que se sabía que el 23,6 % de las vulnerabilidades explotadas conocidas (KEV) se habían
utilizado como arma el mismo día en que se divulgaron públicamente sus CVE o
antes.
Conclusiones clave
-
Disponibilidad de exploits: 14 de los 15 CVE en el informe de la CISA
de 2023 tienen más de 8 exploits de prueba de concepto; 13 tienen exploits
convertidos en armas, y 5 de ellos se convirtieron en armas antes de la
explotación pública. -
Actividad de los actores de amenazas: 60 actores de amenazas
identificados vinculados a 13 CVE; Silent Chollima de Corea del Norte atacó
a 9, mientras que Log4j (CVE-2021-44228) sigue siendo el más explotado. -
Exposición del host: se identificaron decenas de miles de hosts
potencialmente vulnerables
Esto supone una ligera disminución con respecto al 26,8% de 2023, lo que
indica que los intentos de explotación pueden tener lugar en cualquier momento
del ciclo de vida de una vulnerabilidad.
«Durante 2024, el 1% de las CVE publicadas se informaron públicamente como
explotadas en la naturaleza»,
afirmó Patrick Garrity de VulnCheck en un informe.
«Se espera que esta cifra aumente, ya que la explotación suele descubrirse
mucho después de que se publique un CVE».
La empresa reveló que 15 grupos de delincuentes informáticos chinos
diferentes, de un total de 60 actores de amenazas identificados, han sido
vinculados al abuso de al menos una de las
15 principales vulnerabilidades explotadas de forma rutinaria en 2023.
«No es sorprendente que el CVE Log4j (CVE-2021-44228) esté asociado con la
mayor cantidad de actores de amenazas en general, con 31 actores de amenazas
identificados vinculados a su explotación», señaló Garrity a fines del año pasado, y
agregó que la empresa identificó 65.245 hosts potencialmente vulnerables
a la falla.
En total, hay aproximadamente 400.000 sistemas accesibles a Internet que
probablemente sean susceptibles a ataques derivados de la explotación de 15
deficiencias de seguridad en los productos Apache, Atlassian, Barracuda,
Citrix, Cisco, Fortinet, Microsoft, Progress, PaperCut y Zoho.
«Las organizaciones deben evaluar su exposición a estas tecnologías,
mejorar la visibilidad de los riesgos potenciales, aprovechar la
inteligencia de amenazas sólida, mantener prácticas sólidas de gestión de
parches e implementar controles de mitigación, como minimizar la exposición
de estos dispositivos a Internet siempre que sea posible», dijo VulnCheck.