La explotación de vulnerabilidades de día cero pone en jaque a las empresas

La explotación de vulnerabilidades de día cero ha crecido en los últimos años y supone un desafío para las estrategias de ciberseguridad de las empresas

El 70% de las vulnerabilidades explotadas en 2023 fueron de día cero, es decir, que no se conocían previamente. Este dato aportado por Google nos permite vislumbrar que la explotación de vulnerabilidades de día cero se ha convertido en una amenaza de gran relevancia para empresas y ciudadanos.

Más aún si tenemos en cuenta que los actores maliciosos rastrean debilidades presentes en Software-as-a-Service y dispositivos IoT con el objetivo de realizar ataques de cadena de suministro contra las compañías y usuarios que los emplean. De tal forma que no solo las empresas que desarrollan software o dispositivos inteligentes están expuestas a la explotación de vulnerabilidades de día cero.

¿Por qué la creciente explotación de vulnerabilidades de día cero es una amenaza de gran calibre para las empresas y el conjunto de la ciudadanía? Resulta más complejo detectar la explotación de vulnerabilidades de las que no se tiene constancia y evitar que los ciberataques tengan éxito. Además, las empresas afectadas deben acometer la remediación en el mínimo tiempo posible para limitar la explotación vulnerabilidades de día cero.

Por suerte, tanto las compañías que desarrollan software, como las empresas que los adquieren a través de proveedores, tienen a su disposición servicios de ciberseguridad que son proactivos en la gestión de vulnerabilidades de día cero.

A continuación, abordamos los aspectos clave de la explotación de vulnerabilidades de día cero y la forma de evitarla.

1. Los actores hostiles han perfeccionado su capacidad de detección de vulnerabilidades de día cero

¿Por qué la explotación de vulnerabilidades de día cero va en aumento? Algunos de los actores maliciosos con más recursos y conocimientos, como los grupos de amenazas persistentes avanzadas (APT) y los ciberdelincuentes esponsorizados por estados como Rusia, China o Corea del Norte han puesto su foco en la búsqueda de esta clase de vulnerabilidades.

Como ya hemos señalado en otras ocasiones, en el ámbito de la ciberseguridad se produce una competición continua entre los actores hostiles y los profesionales que deben proteger a las empresas. Así, cuando los expertos en ciberseguridad ponen en marcha mecanismos eficaces para hacer frente a las tácticas y técnicas maliciosas, a los delincuentes no les queda más remedio que innovar e idear nuevos TTPs.

En este sentido, la gestión de vulnerabilidades se ha convertido en una cuestión crítica para las empresas porque permite tener un inventario de activos y de las vulnerabilidades conocidas y priorizar su remediación en función de su nivel de criticidad o de la posibilidad de que sean explotadas.

Para sobreponerse a una gestión de vulnerabilidades eficiente, los delincuentes buscan debilidades y brechas que aún no se hayan detectado y, así, pillar por sorpresa a sus víctimas.

Dicho de otra forma, el incremento del nivel de ciberseguridad de una compañía conlleva que resulte mucho más difícil atacarla explotando vulnerabilidades conocidas presentes en su infraestructura. Por ende, para lograr cumplir los objetivos delictivos es necesario detectar vulnerabilidades nuevas para las que no exista aún remediación.

Evidentemente, la detección y explotación de vulnerabilidades de día cero no es una tarea sencilla, sino que requiere un alto nivel de conocimientos y experiencia.

2. El tiempo medio de explotación de las vulnerabilidades de día cero se ha reducido

El informe hecho público por Google también señala que el tiempo promedio que necesitan los actores maliciosos para poder explotar una vulnerabilidad recién descubierta ha descendido de manera drástica en los últimos años. Hasta el punto de que en tan solo cinco días es posible disponer de una prueba de concepto que permita llevar a cabo la explotación exitosa de una vulnerabilidad de día cero o que acaba de darse a conocer.

Este periodo temporal tan breve supone un desafío mayúsculo para los proveedores de software y el conjunto del tejido productivo. ¿Por qué?

1. Los profesionales que deben diseñar parches para remediar las vulnerabilidades tienen que trabajar a contrarreloj para evitar que se lleven a cabo explotaciones exitosas.
2. La detección proactiva de vulnerabilidades e incidentes de seguridad se vuelve más relevante.
3. Las estrategias de seguridad deben tener en cuenta la rápida explotación de vulnerabilidades de día cero y optar por medidas como la segmentación de las redes corporativas e incorporar controles de seguridad en varias capas para limitar el impacto de los ataques.
4. Resulta imprescindible actualizar continuamente el software corporativo para implementar todos los parches de seguridad.

3. El peligro de que existan pruebas de concepto públicas para explotar vulnerabilidades nuevas

¿Solo los ciberdelincuentes más experimentados y con mayores recursos pueden realizar la explotación de vulnerabilidades de día cero? No. A menudo se hacen públicas pruebas de concepto (PoC) que permiten saber cómo se pueden explotar las nuevas vulnerabilidades para realizar ciberataques.

Por ejemplo, hace unos días la Agencia de Ciberdefensa de Estados Unidos (CISA) alertó de que una vulnerabilidad que afecta a Microsoft SharePoint, una herramienta para compartir documentos usada por miles de empresas en todo el mundo, estaba siendo explotada activamente. Y, de hecho, el riesgo de explotación era alto porque se había hecho pública una prueba de concepto.

Es más, un estudio publicado este año sostiene que los actores maliciosos son capaces de usar pruebas de concepto para explotar vulnerabilidades tan solo 22 minutos después de que se hagan públicas.

4. Los componentes y librerías de terceros son un objetivo crítico para los malos

Al hablar de la explotación de vulnerabilidades de día cero es importante señalar, como indica el informe de Google, que un objetivo prioritario de los actores maliciosos son los componentes y las librerías de terceros. ¿Por qué?

Encontrar una vulnerabilidad desconocida en ellos abre la puerta a atacar a todas las compañías que hayan usado componentes y librerías externas para desarrollar software y hardware propio, propiciando ataques a la cadena de suministro.

Esto implica que se multiplique el número de potenciales víctimas de la explotación de vulnerabilidades de día cero.

5. La explotación de vulnerabilidades de día cero en programas empresariales

A esta tendencia debemos sumar, como apuntamos al inicio, a la explotación de vulnerabilidades de día cero presentes en software de índole empresarial.

Por ejemplo, a principios de octubre, Rackspace, una compañía que ofrece servicios de alojamiento, sufrió un incidente de seguridad causado por la explotación de una vulnerabilidad en el software SL1 de ScienceLogic. Sin embargo, esta empresa afirmó que la vulnerabilidad se encontraba en una utilidad de terceros incorporada al paquete de SL1. Lo cual da buena muestra de la complejidad de la cadena de suministro de software y de la dificultad para llevar a cabo un control eficaz de todos los activos corporativos.

Sea como fuere, la brecha explotada en este software de monitorización de la infraestructura tecnológica y los activos de una organización permitió a los actores maliciosos acceder a servidores internos de Rackspace e, incluso, a datos privados de sus clientes.

Este caso no es una anomalía. Constantemente se dan a conocer vulnerabilidades de día cero que afectan a software empresariales. En las últimas semanas se dio a conocer que se estaban explotando vulnerabilidades en CSA, el sistema de servicios cloud de Ivanti; así como una vulnerabilidad crítica en FortiManager, una solución que permite a las empresas gestionar de manera centralizada firewalls o redes inalámbricas.

6. La importancia que juegan los parches en la protección de los activos

Las empresas que desarrollan software deben ser capaces de detectar cuanto antes vulnerabilidades que afectan a sus programas o a componentes de terceros presentes en ellos. ¿Por qué? De esta manera podrán buscar soluciones para remediarlas y protegerse a sí mismas y a sus clientes en caso de que comercialicen sus soluciones.

Como hemos ido apuntando, cada minuto cuenta a la hora de prevenir la explotación de vulnerabilidades de día cero.

Las compañías necesitan ser capaces de desarrollar parches y lanzar actualizaciones de sus software antes de que los actores maliciosos encuentren una forma de explotar las vulnerabilidades o de que, incluso, se hagan públicas pruebas de concepto para lanzar ataques.

Por su parte, las empresas que emplean software de terceros deben llevar un control de todos los programas que usan e implementar las actualizaciones de seguridad con la máxima celeridad para evitar estar desprotegidas por culpa de vulnerabilidades para las que ya existe una remediación.

Por ello, las empresas deben contar con procedimientos de actualización de seguridad de sistemas y aplicaciones que definan ventanas temporales y plazos, según la criticidad del activo y de la vulnerabilidad, para la instalación de parches de seguridad y reinicio de servidores.

7. De los Threat Hunters a la gestión de las vulnerabilidades emergentes: Cómo protegerse ante la explotación de vulnerabilidades

Habida cuenta de la peligrosa panorámica que venimos de esbozar… ¿qué pueden hacer las empresas para protegerse frente a la explotación de vulnerabilidades de día cero? Ser proactivas, incorporando servicios de ciberseguridad avanzados como los servicios de Threat Hunting y la detección de vulnerabilidades emergentes.

7.1. Threat Hunting

Los servicios de Threat Hunting proactivo investigan continuamente escenarios de compromiso no detectado, partiendo de la base de que un ciberataque se ha podido llevar a cabo sin que se haya generado ningún evento de seguridad.

Para ello, se lleva a cabo un análisis de la información proporcionada por las soluciones EDR/XDR y se investigan de manera continua vulnerabilidades, campañas de ataque y TTPs de los actores maliciosos.

De esta manera, resulta posible detectar una operación maliciosa, como puede ser la explotación de vulnerabilidades de día cero, y responder a ella de manera inmediata para evitar que los delincuentes logren sus objetivos.

7.2. Detección de vulnerabilidades emergentes

El servicio de vulnerabilidades emergentes permite a las empresas afrontar con seguridad y tranquilidad el descubrimiento de vulnerabilidades de día cero presentes en los activos de su perímetro. ¿Por qué? Los profesionales de ciberseguridad se encargan de:

• Inventariar y monitorizar todos los activos, incluidos los software contratados a proveedores o los componentes de terceros.
• Detectar de manera temprana vulnerabilidades presentes en estos activos.
• Comprobar si una vulnerabilidad crítica recientemente descubierta está presente en el perímetro de la empresa.
• Notificar a las compañías que se vean afectadas por una nueva vulnerabilidad.
• Poner en marcha todas las medidas necesarias para mitigar una vulnerabilidad y evitar su explotación.

De esta manera, resulta posible tomar medidas desde el primer minuto para:

• Reducir la superficie de exposición de la empresa.
• Limitar la ventana de oportunidad de los actores maliciosos que deseen explotar vulnerabilidades emergentes.
• Anticiparse a tácticas y técnicas asociadas a grupos delictivos que podrían intentar explotar vulnerabilidades de día cero o de reciente publicación.

En conclusión, la explotación de vulnerabilidades de día cero va en aumento y puede provocar cuantiosos daños en miles de empresas. Por eso, es fundamental que las organizaciones mejoren su capacidad de detección de vulnerabilidades emergentes que afecten a sus activos y optimicen los procesos de remediación de las mismas.