Resumen de vulnerabilidades con más probabilidad de ser explotadas
14/02/2024
Escrito por Guillermo Pereyra, Analista de seguridad de LACNIC CSIRT.
En el siguiente artículo presentamos un resumen de las vulnerabilidades que tuvieron la mayor probabilidad de ser explotadas durante la segunda mitad del año 2023.
Como mencionamos en nuestro primer artículo, es posible usar las herramientas que brinda FIRST para obtener las vulnerabilidades con más probabilidades de ser explotadas. A su vez, utilizamos el clasificador de vulnerabilidades de NIST para conocer la severidad de cada vulnerabilidad. Posteriormente, realizamos un filtrado de las vulnerabilidades, priorizando aquellas con una probabilidad más elevada de ser objeto de explotación.
Gráfica 1. Vulnerabilidades a lo largo del segundo semestre ordenadas por probabilidad de ser explotadas.
Detalles de algunas vulnerabilidades
A continuación, se detallan algunas vulnerabilidades críticas que tuvieron mayor posibilidad de ser explotadas durante el 2do semestre del pasado año.
Tabla con el Top 10
| CVE | CVSS v3.1 | EPSS (Q4 2023) |
| CVE-2019-1653 | 7.5 HIGH | 0.97567 |
| CVE-2014-6271 | 7.5 HIGH | 0.97564 |
| CVE-2015-7297 | 7.5 HIGH | 0.97564 |
| CVE-2018-7600 | 9.8 CRITICAL | 0.9756 |
| CVE-2015-1635 | 10 HIGH (CVSS v2) | 0.97559 |
| CVE-2019-2725 | 9.8 CRITICAL | 0.97559 |
| CVE-2017-8917 | 9.8 CRITICAL | 0.97555 |
| CVE-2019-16662 | 9.8 CRITICAL | 0.97555 |
| CVE-2020-5902 | 9.8 CRITICAL | 0.97555 |
| CVE-2020-14750 | 9.8 CRITICAL | 0.97553 |
CVE-2019-1653 – Vulnerabilidad de divulgación de información en routers Cisco Small Business RV320 and RV325
CVSSv3.1: 7.5 HIGH
Versiones vulnerables: Cisco Small Business RV320 y RV325 Dual Gigabit WAN VPN Routers usando Firmware desde 1.4.2.15 hasta 1.4.2.20.
Solución: Actualizar a la versión más nueva posible.
Descripción: Vulnerabilidad en el gestor web de los routers Cisco Small Business RV320 y RV325 Dual Gigabit WAN VPN podrían permitir a un atacante remoto y no autenticado descargar la configuración del sistema.
Referencia: https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-20190123-rv-info.html
CVE-2019-2725 y CVE-2020-14750 – Vulnerabilidades en servidor Oracle WebLogic
CVSSv3.1: 9.8 CRITICAL
Versiones vulnerables: Servidor Oracle WebLogic versiones 10.3.6.0, 12.1.3.0, 12.2.1.4.0, 14.1.1.0.0.
Solución: Actualizar a la versión más nueva posible.
Descripción: Ejecución remota de código sin la necesidad de estar autenticado.
Referencia: https://www.oracle.com/security-alerts/alert-cve-2019-2725.html
Resumen
En líneas generales, las vulnerabilidades más susceptibles a ser explotadas siguen siendo problemas antiguos. Estas son empleadas para comprometer sistemas que no han sido actualizados. A esto se le suma la existencia de exploits o pruebas de concepto que se encuentran de manera pública y son generalmente simples de aplicar por un cibercriminal con pocos conocimientos sobre la tecnología que quiere comprometer.
También existen vulnerabilidades nuevas que son explotadas activamente por los criminales. Como ejemplo, existen las vulnerabilidades CVE-2023-20198 y CVE-2023-20273. Fueron publicadas en octubre de 2023 y afectan a la función de configuración web del software Cisco IOS XE. En este caso se sugiere actualizar el sistema. En caso de no poder realizar la actualización, es necesario desactivar las funcionalidades web.
Recomendaciones
Cuando nos enfrentamos al desafío de actualizar muchos sistemas, es aconsejable dar prioridad a la actualización de aquellos que presentan una mayor probabilidad de sufrir ataques o ser vulnerados.
En este contexto, podría surgir una situación en la que una vulnerabilidad con una calificación CVSS HIGH sea técnicamente difícil de explotar, mientras que, al mismo tiempo, podríamos contar con otra vulnerabilidad con una calificación MEDIUM para la cual existan exploits públicos, lo que facilita su explotación por parte de un atacante. Para llevar a cabo esta priorización, recomendamos emplear la herramienta EPSS de FIRST.
Referencias del artículo:
- ¿Qué es el Exploit Prediction Scoring System (EPSS)?
- Explotación activa de vulnerabilidades CVE-2023-20198 y CVE-2023-20273
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.
Buenos días. Con la versión más nueva de la calculadora se mantendría los mismos valores de criticidad?
Gracias
Buen Día Sebastián,
De una versión a otra podría cambiar el puntaje. Esto se debe a las diferencias en las métricas y metodologías. Las nuevas versiones de CVSS agrega variables que modifican el puntaje final. También hay que tener en cuenta la variable de ambiente, esto puede hacer que varíe la puntuación dependiendo de como esté configurado el entorno afectado por la vulnerabilidad.