Resumo das vulnerabilidades com maior possibilidade de serem exploradas
14/02/2024
Por Guillermo Pereyra, Analista de Segurança do LACNIC CSIRT.
No artigo a seguir apresentamos um resumo das vulnerabilidades que tiveram maior possibilidade de serem exploradas durante o segundo semestre de 2023.
Como mencionamos no nosso primeiro artigo, é possível usar as ferramentas fornecidas pelo FIRST para obter as vulnerabilidades com maior possibilidade de serem exploradas. Por sua vez, usamos o classificador de vulnerabilidades de NIST para conhecer a gravidade de cada vulnerabilidade. Posteriormente, filtramos as vulnerabilidades, priorizando aquelas com maior possibilidade de serem objeto de exploração.
Gráfico 1. Vulnerabilidades ao longo do segundo semestre ordenadas por possibilidade de serem exploradas.
Detalhes de algumas vulnerabilidades
Abaixo seguem algumas vulnerabilidades críticas que tiveram maior possibilidade de serem exploradas durante o 2º semestre do ano passado.
Tabela com o Top 10
CVE | CVSS v3.1 | EPSS (Q4 2023) |
CVE-2019-1653 | 7.5 HIGH | 0.97567 |
CVE-2014-6271 | 7.5 HIGH | 0.97564 |
CVE-2015-7297 | 7.5 HIGH | 0.97564 |
CVE-2018-7600 | 9.8 CRITICAL | 0.9756 |
CVE-2015-1635 | 10 HIGH (CVSS v2) | 0.97559 |
CVE-2019-2725 | 9.8 CRITICAL | 0.97559 |
CVE-2017-8917 | 9.8 CRITICAL | 0.97555 |
CVE-2019-16662 | 9.8 CRITICAL | 0.97555 |
CVE-2020-5902 | 9.8 CRITICAL | 0.97555 |
CVE-2020-14750 | 9.8 CRITICAL | 0.97553 |
CVE-2019-1653 – Vulnerabilidade de divulgação de informações em roteadores Cisco Small Business RV320 e RV325
CVSSv3.1: 7.5 HIGH
Versões vulneráveis: Cisco Small Business RV320 e RV325 Dual Gigabit WAN VPN Routers usando Firmware de 1.4.2.15 a 1.4.2.20.
Solução: Atualizar para a versão mais recente possível.
Descrição: Vulnerabilidade no gerenciador da Web dos roteadores Cisco Small Business RV320 e RV325 Dual Gigabit VPN WAN poderiam permitir que um invasor remoto e não autenticado faça o download da configuração do sistema.
Referência: https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-20190123-rv-info.html
CVE-2019-2725 e CVE-2020-14750 – Vulnerabilidades em servidor Oracle WebLogic
CVSSv3.1: 9.8 CRITICAL
Versões vulneráveis: Servidor Oracle WebLogic versões 10.3.6.0, 12.1.3.0, 12.2.1.4.0, 14.1.1.0.0.
Solução: Atualizar para a versão mais recente possível.
Descrição: Execução remota de código sem necessidade de autenticação.
Referência: https://www.oracle.com/security-alerts/alert-cve-2019-2725.html
Resumo
Em termos gerais, as vulnerabilidades mais susceptíveis de serem exploradas continuam sendo um problema antigo. Estas são usadas para comprometer sistemas que não foram atualizados. Soma-se a isso a existência de exploits ou provas de conceito que estão disponíveis de forma pública e são geralmente simples de aplicar por um cibercriminoso com pouco conhecimento sobre a tecnologia que quer comprometer.
Existem também novas vulnerabilidades que são exploradas ativamente pelos criminosos. Como exemplo, existem as vulnerabilidades CVE-2023-20198 e CVE-2023-20273. Elas foram publicadas em outubro de 2023 e afetam o recurso de configuração web do software Cisco IOS XE. Neste caso sugere-se atualizar o sistema. Caso não consiga realizar a atualização, é necessário desativar as funcionalidades web.
Recomendações
Diante do desafio de atualizar muitos sistemas, é aconselhável priorizar a atualização daqueles que têm maior possibilidade de serem atacados ou vulnerados. Neste contexto, poderia surgir uma situação em que uma vulnerabilidade com uma qualificação CVSS HIGH seja tecnicamente difícil de explorar, e ao mesmo tempo, poderíamos ter outra vulnerabilidade com uma qualificação MEDIUM para a qual existam exploits públicos, facilitando a sua exploração por parte de um atacante. Para realizar esta priorização, recomendamos usar a ferramenta EPSS de FIRST.
Referências do artigo:
- O que é o Exploit Prediction Scoring System (EPSS)?
- Exploração ativa de vulnerabilidades CVE-2023-20198 e CVE-2023-20273