Una lista publicada recientemente de 25 de las vulnerabilidades y exposiciones comunes (CVE) explotadas con mayor frecuencia por los actores de amenazas persistentes avanzadas (APT) patrocinadas por el estado que se originan en China ha resaltado la importancia de aplicar actualizaciones de software y parches de manera oportuna.
La lista fue publicada por la Agencia de Seguridad Nacional de los EE. UU. (NSA) y detalla una serie de vulnerabilidades que se pueden usar para obtener acceso inicial a las redes de las víctimas a través de productos a los que se puede acceder directamente desde la Internet pública, y luego causar estragos una vez dentro. .
Muchos de ellos se conocen desde hace algún tiempo, lo que refleja una preferencia general entre los actores malintencionados de eliminar la fruta madura a través de errores viejos y sin parches.
“Escuchamos alto y claro que puede ser difícil priorizar los esfuerzos de parcheo y mitigación”, dijo la directora de seguridad cibernética de la NSA, Anne Neuberger.
«Esperamos que al destacar las vulnerabilidades que China está utilizando activamente para comprometer los sistemas, los profesionales de la seguridad cibernética obtendrán información procesable para priorizar los esfuerzos y asegurar sus sistemas».
Las 25 vulnerabilidades enumeradas se detallan en el aviso de la NSA, al que se puede acceder en línea aquí, e incluyen errores en productos de Cisco, Citrix, F5 Networks, Microsoft, MobileIron, Oracle, Pulse Secure y Symantec. Algunos de ellos se conocen desde hace años, y muchos de ellos ya han atraído una amplia atención.
Chloé Messdaghi, vicepresidenta de estrategia de Point3 Security, dijo que había visto un aumento sustancial de actores maliciosos que atacan a CVE tan conocidos en los últimos 12 meses.
“Están tratando de recopilar datos de propiedad intelectual. Los atacantes chinos pueden ser un estado nacional, una empresa o un grupo de empresas, o simplemente un grupo de actores de amenazas o un individuo que intenta obtener información patentada para utilizar y construir empresas competitivas, en otras palabras, para robar y usar para su propio beneficio. ,» ella dijo.
“Me alegra que la NSA haya emitido esto. La publicación de este informe refuerza el trabajo que las empresas deben realizar para proteger su propiedad intelectual y las impulsa a realizar los parches y el mantenimiento que necesitan ”, agregó Messdaghi.
Jamie Akhtar, CEO y cofundador de CyberSmart, dijo: “La gente tiene la impresión de que el ciberdelito es sofisticado y difícil de proteger. Pero como demuestra esta noticia, incluso los delincuentes altamente profesionales a menudo solo están explotando vulnerabilidades conocidas que las organizaciones y el público no se han tomado el tiempo de abordar.
“Asegurarse de que el software esté actualizado y, por lo tanto, se hayan implementado parches para las vulnerabilidades conocidas, es una de las cinco reglas fundamentales de la higiene cibernética. El gobierno del Reino Unido ha desarrollado un esquema que cubre estos fundamentos para ayudar a todas las empresas y su personal a comprender y mantener la seguridad básica «.
Ciaran Byrne, jefe de operaciones de la plataforma en Edgescan, dijo que la divulgación mostró que era importante contar con procedimientos para actualizar el software vulnerable tan pronto como sea posible después de que se publiquen las correcciones.
“A veces no siempre es práctico o posible actualizar el software de inmediato, ya que ciertos elementos dependen de una versión específica o la actualización requiere programar un tiempo de inactividad; sin embargo, se debe implementar un plan y un cronograma”, agregó.
Durante este proceso, dijo, las organizaciones deben considerar primero por qué el software no se puede parchear de inmediato y preguntarse si está tan desactualizado que debe reemplazarse.
En segundo lugar, las empresas deberían preguntarse qué se debe hacer para protegerse cuando no se les aplica un parche, como establecer nuevas reglas de firewall para permitir el acceso a puertos específicos solo desde IP predefinidas.
Por último, deben preguntarse si el riesgo actual asociado es lo suficientemente bajo como para no parchear, es decir, para establecer si la información sensible puede ser expuesta o robada, o si la vulnerabilidad revelada podría ser aprovechada por un incidente más grave. agresor.