Resumen de vulnerabilidades con más probabilidad de ser explotadas

14/02/2024

Resumen de vulnerabilidades con más probabilidad de ser explotadas

Escrito por Guillermo Pereyra, Analista de seguridad de LACNIC CSIRT.

En el siguiente artículo presentamos un resumen de las vulnerabilidades que tuvieron la mayor probabilidad de ser explotadas durante la segunda mitad del año 2023.

Como mencionamos en nuestro primer artículo, es posible usar las herramientas que brinda FIRST para obtener las vulnerabilidades con más probabilidades de ser explotadas. A su vez, utilizamos el clasificador de vulnerabilidades de NIST para conocer la severidad de cada vulnerabilidad. Posteriormente, realizamos un filtrado de las vulnerabilidades, priorizando aquellas con una probabilidad más elevada de ser objeto de explotación.

Gráfica 1. Vulnerabilidades a lo largo del segundo semestre ordenadas por probabilidad de ser explotadas.

Detalles de algunas vulnerabilidades

A continuación, se detallan algunas vulnerabilidades críticas que tuvieron mayor posibilidad de ser explotadas durante el 2do semestre del pasado año.

Tabla con el Top 10

CVECVSS v3.1EPSS (Q4 2023)
CVE-2019-16537.5 HIGH0.97567
CVE-2014-62717.5 HIGH0.97564
CVE-2015-72977.5 HIGH0.97564
CVE-2018-76009.8 CRITICAL0.9756
CVE-2015-163510 HIGH (CVSS v2)0.97559
CVE-2019-27259.8 CRITICAL0.97559
CVE-2017-89179.8 CRITICAL0.97555
CVE-2019-166629.8 CRITICAL0.97555
CVE-2020-59029.8 CRITICAL0.97555
CVE-2020-147509.8 CRITICAL0.97553

CVE-2019-1653 – Vulnerabilidad de divulgación de información en routers Cisco Small Business RV320 and RV325

CVSSv3.1: 7.5 HIGH

Versiones vulnerables: Cisco Small Business RV320 y RV325 Dual Gigabit WAN VPN Routers usando Firmware desde 1.4.2.15 hasta 1.4.2.20.

Solución: Actualizar a la versión más nueva posible.

Descripción: Vulnerabilidad en el gestor web de los routers Cisco Small Business RV320 y  RV325 Dual Gigabit WAN VPN podrían permitir a un atacante remoto y no autenticado descargar la configuración del sistema.

Referencia: https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-20190123-rv-info.html

CVE-2019-2725 y CVE-2020-14750 – Vulnerabilidades en servidor Oracle WebLogic

CVSSv3.1: 9.8 CRITICAL

Versiones vulnerables: Servidor Oracle WebLogic versiones 10.3.6.0, 12.1.3.0, 12.2.1.4.0, 14.1.1.0.0.

Solución: Actualizar a la versión más nueva posible.

Descripción: Ejecución remota de código sin la necesidad de estar autenticado.

Referencia: https://www.oracle.com/security-alerts/alert-cve-2019-2725.html

Resumen

En líneas generales, las vulnerabilidades más susceptibles a ser explotadas siguen siendo problemas antiguos. Estas son empleadas para comprometer sistemas que no han sido actualizados. A esto se le suma la existencia de exploits o pruebas de concepto que se encuentran de manera pública y son generalmente simples de aplicar por un cibercriminal con pocos conocimientos sobre la tecnología que quiere comprometer.

También existen vulnerabilidades nuevas que son explotadas activamente por los criminales. Como ejemplo, existen las vulnerabilidades CVE-2023-20198 y CVE-2023-20273. Fueron publicadas en octubre de 2023 y afectan a la función de configuración web del software Cisco IOS XE. En este caso se sugiere actualizar el sistema. En caso de no poder realizar la actualización, es necesario desactivar las funcionalidades web.

Recomendaciones

Cuando nos enfrentamos al desafío de actualizar muchos sistemas, es aconsejable dar prioridad a la actualización de aquellos que presentan una mayor probabilidad de sufrir ataques o ser vulnerados.

En este contexto, podría surgir una situación en la que una vulnerabilidad con una calificación CVSS HIGH sea técnicamente difícil de explotar, mientras que, al mismo tiempo, podríamos contar con otra vulnerabilidad con una calificación MEDIUM para la cual existan exploits públicos, lo que facilita su explotación por parte de un atacante. Para llevar a cabo esta priorización, recomendamos emplear la herramienta EPSS de FIRST.

Referencias del artículo:

Subscribe
Notify of

2 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Sebastián Dutra
1 month ago

Buenos días. Con la versión más nueva de la calculadora se mantendría los mismos valores de criticidad?
Gracias

LACNIC CSIRT
1 month ago

Buen Día Sebastián,

De una versión a otra podría cambiar el puntaje. Esto se debe a las diferencias en las métricas y metodologías. Las nuevas versiones de CVSS agrega variables que modifican el puntaje final. También hay que tener en cuenta la variable de ambiente, esto puede hacer que varíe la puntuación dependiendo de como esté configurado el entorno afectado por la vulnerabilidad.