FBI revela las 10 vulnerabilidades más explotadas en 2020
Cada año se descubren miles de vulnerabilidades en software y hardware que usamos a diario. En 2019, por ejemplo, se encontraron 12.174 de ellas.
La mayoría suelen tener una gravedad media o baja, pero hay más de mil que superaron el 8 de nota en cuanto a gravedad. Y muchas de ellas, a pesar de parchearse por las compañías, siguen utilizándose por hackers durante años. Ahora, el FBI ha publicado una lista de las más usadas por los atacantes.
Así, ha sido la CISA, el FBI y el Gobierno de Estados Unidos quien ha elaborado este listado para que profesionales de ciberseguridad, organizaciones privadas y básicamente cualquier usuario tengan parcheados estos fallos que están explotándose actualmente. La mayoría no son del año pasado, e incluso hay varias de 2017, y una de 2012. Esto demuestra que por mucho que se lancen los parches, los fabricantes tienen que incorporar mecanismos de actualización rápidos y sencillos.
Muchas de estas vulnerabilidades afectan a Microsoft Office, como el sistema de enlazado de objetos (usado en hojas de cálculo), así como a algunas herramientas de soporte para el desarrollo de aplicaciones webs. Tres de las diez vulnerabilidades, todas relacionadas con Office, se utilizan con frecuencia para hackeos contra Estados Unidos de países enemigos como Corea del Norte, China, Rusia o Irán. Estudios realizados en años previos han demostrado que los productos de Microsoft y Adobe son los más hackeados, debido a su gran uso y a sus vulnerabilidades.
El problema de muchas de estas vulnerabilidades que los usuarios no actualizan a las últimas versiones de programas como Office, y siguen usando versiones que ya no tienen soporte como Office 2007 o 2010, cuyo SP2 dejará de recibir soporte el 13 de octubre de 2020. Así, el listado de las vulnerabilidades más explotadas entre 2016 y 2019 son:
CVE-2017-11882: Microsoft Office Memory Corruption Vulnerability
Permite a un atacante ejecutar código arbitrario al poder corromper la memoria del programa. Esta vulnerabilidad afecta a Microsoft Office 2007 SP3/2010 SP2/2013 y SP1/2016. Suele usarse con los malwares Loki, FormBook y Pony/FAREIT. Con tener los parches de Office al día estamos protegidos. Es muy usada por China, Irán, Corea del Norte y Rusia.
CVE-2017-0199: Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API
Permite ejecutar código arbitrario con un documento modificado. Esta vulnerabilidad afecta a Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016, Vista SP2, Server 2008 SP2, Windows 7 SP1 y Windows 8.1, y se usa en los malwares FINSPY, LATENTBOT, Dridex. Con estar al día de actualizaciones estamos protegidos. Es muy usada por China, Irán, Corea del Norte y Rusia.
CVE-2017-5638: Apache Struts 2 Vulnerability Leads to Remote Code Execution
Permite a un atacante ejecutar comandos arbitrarios mediante un documento, contenido o encabezado HTTP modificados. Esta vulnerabilidad afecta a las versiones de Apache Struts 2.2.3.x previas a 2.3.32 y a las 2.5.x previas a 2.5.10.1. Se usa normalmente con el malware JexBoss. La mitigación es tan simple como actualización a Struts 2.3.32 o Struts 2.5.10.1.
CVE-2012-0158: MSCOMCTL.OCX RCE Vulnerability
Permite ejecutar código arbitrario mediante una web, documento de office o archivo .rtf que permita ejecutar el código que active la corrupción. La vulnerabilidad afecta a Microsoft Office 2003 SP3, 2007 SP2 y SP3, y 2010 Gold y SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, y 2008 SP2, SP3, y R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2, y 2009 Gold y R2; Visual FoxPro 8.0 SP1 y 9.0 SP2; y Visual Basic 6.0. Está asociada con el malware Dridex, y con tener actualizados los componentes a la última versión, estamos protegidos. Es muy usada por China, Irán, Corea del Norte y Rusia.
CVE-2019-0604: Microsoft SharePoint Remote Code Execution Vulnerability
Permite ejecutar código arbitrario cuando el software no consigue comprobar la fuente de una aplicación. Afecta a Microsoft SharePoint, y suele ser usado en el malware China Chopper. Con actualizar a la última versión se está protegido.
CVE-2017-0143: Windows SMB Remote Code Execution Vulnerability
Permite realizar ataques remotos para ejecutar código arbitrario mediante paquetes modificados, usados mucho para llevar a cabo ataques de ransomware e infectar redes enteras mediante SMB. Afecta a Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; y Windows 10 Gold, 1511, y 1607; y Windows Server 2016. Suele usarse con los conocidos EternalSynergy y EternalBlue.
CVE-2018-4878: Adobe Flash Player Remote Code Execution Vulnerability
Permite ejecutar código arbitrario a través de Flash por un fallo a la hora de gestionar contenido multimedia mediante el SDK Primetime. Afecta a las versiones anteriores de Adobe Flash Player 28.0.0.161, y suele usarse con el malware DOGCALL. Con parchear a la última versión, o desinstalarlo, estamos protegidos. Ha sido usado por Corea del Norte contra Corea del Sur.
CVE-2017-8759: .NET Framework Remote Code Execution Vulnerability
Permite ejecutar código remoto a través de un documento malicioso o una aplicación. Afecta a Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 y 4.7, y suele usarse con los malware FINSPY, FinFisher y WingBird. Con actualizar estamos protegidos.
CVE-2015-1641: Microsoft Office Memory Corruption Vulnerability
Permite a un atacante remoto ejecutar código arbitrario mediante un documento RTF modificado. Afecta a Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word for Mac 2011, Office Compatibility Pack SP3, Word Automation Services on SharePoint Server 2010 SP2 y2013 SP1, y Office Web Apps Server 2010 SP2 y 2013 SP1. Suele usarse en los malwares Toshliph, UWarrior, y con actualizar Office a la última versión, estamos protegidos.
CVE-2018-7600: Drupal Remote Code Execution Vulnerability
Permite ejecutar código arbitrario en múltiples subsistemas con configuraciones de módules comunes o por defecto. Afecta a las versiones anteriores de Drupal 7.58, 8.3.9, 8.4.6 y 8.5.1, y suele usarse con el malware Kitty. Hay que actualizar a las versiones de Drupal 7 u 8 para protegerse.
Otras vulnerabilidades
Además de esas, en 2020 también hay otras dos vulnerabilidades que están detectando mucho, las cuales atacan redes VPN. La primera, CVE-2019-19781, consiste en una ejecución de código arbitrario en herramientas de VPN de Citrix. La segunda, CVE-2019-11510, afecta a los servidores VPN de Pulse Secure, permitiendo leer archivos a un atacante. En ambos cosas, con instalar la versión más reciente se está protegido.
El FBI alerta también de que este año también han aparecido vulnerabilidades relacionadas con el trabajo remoto en plataformas como Zoom y en otras implementaciones de red a la hora de usar servicios como Office 365. Al haber tenido que desplegar rápidamente estos sistemas de acceso remoto, muchos de ellos tienen vulnerabilidades.
Como vemos, es muy importante que todo el software que usemos esté actualizado siempre a la última versión. Por pequeño que sea el programa o app, puede suponer una vía de entrada a hackers de cualquier parte, los cuales buscan puertas de entrada a sistemas para ejecutar código de manera arbitraria que les permita tomar el control de ordenadores o redes enteras para robar información o generar todo tipo de inconvenientes.