CISA publica las vulnerabilidades más explotadas de 2021

La Cybersecurity & Infrastructure Security Agency, la CISA, ha publicado un informe en el que podemos ver una radiografía clave para entender mucho de lo ocurrido el año pasado en ciberseguridad. Y es que, salvo en casos puntuales, tenemos conocimiento tanto de los ataques, especialmente si reciben algún nombre que ayuda a identificarlos, como de las vulnerabilidades en las que se basan pero, a medo y largo plazo, solo el nombre y los efectos perduran en la memoria, mientras que las vulnerabilidades y los productos afectados por las mismas tienden a olvidarse.

Así, este tipo de recordatorios nos permiten tener una imagen bastante completa, puesto que nos permiten identificar los CVE explotados por los ciberdelincuentes y, claro, también que productos y servicios son los que más atención generan en los mismos dándonos de este modo una valiosa pista sobre en qué casos debemos priorizar al máximo la instalación de actualizaciones y parches de seguridad o, de lo contrario, nos expondremos a más riesgos de los que nadie querría asumir.

Y en este caso, como puedes comprobar, más de la mitad de las 15 vulnerabilidades más explotadas en 2021, 8 de ellas, tienen como protagonista involuntario a Microsoft Exchange Server. En este punto hay que hacer, eso sí, algún matiz importante. El primero es que esto no significa que Exchange Server sea más inseguro que otras soluciones, ni mucho menos. Lo que quiere decir es que probablemente sea uno de los productos más sobreanalizados tanto por expertos de seguridad como por cibercriminales, con el fin de encontrar algún problema todavía no identificado.

Por otra parte, y este punto también es de lo más relevante, la explotación masiva de estos problemas de seguridad suele iniciarse cuando ya han sido difundidas públicamente, lo que de manera habitual, ocurre cuando ya se han publicado todas las actualizaciones necesarias para protegerse de dichas amenazas. Así, los sistemas expuestos son aquellos que se mantienen sin actualizar. Un ejemplo muy reciente y relacionado con esta tabla lo encontramos con ProxyShell, que todavía está siendo explotado pese a que pronto se cumplirá un año desde que se publicaron las soluciones para el mismo.

CVE Vulnerabilidad Proveedor / Producto Tipo

CVE-2021-44228 Log4Shell apache log4j Ejecución remota de código (RCE)

CVE-2021-40539 Zoho ManageEngine AD SelfService Plus Ejecución remota de código (RCE)

CVE-2021-34523 ProxyShell Microsoft Exchange Server Elevación de privilegio

CVE-2021-34473 ProxyShell Microsoft Exchange Server Ejecución remota de código (RCE)

CVE-2021-31207 ProxyShell Microsoft Exchange Server Omisión de funciones de seguridad

CVE-2021-27065 ProxyLogon Microsoft Exchange Server Ejecución remota de código (RCE)

CVE-2021-26858 ProxyLogon Microsoft Exchange Server Ejecución remota de código (RCE)

CVE-2021-26857 ProxyLogon Microsoft Exchange Server Ejecución remota de código (RCE)

CVE-2021-26855 ProxyLogon Microsoft Exchange Server Ejecución remota de código (RCE)

CVE-2021-26084 Centro de datos y servidor de Atlassian Confluence Ejecución de código arbitrario

CVE-2021-21972 Cliente VMware vSphere Ejecución remota de código (RCE)

CVE-2020-1472 ZeroLogon Protocolo remoto de inicio de sesión de Microsoft (MS-NRPC) Elevación de privilegios

CVE-2020-0688 Microsoft Exchange Server Ejecución remota de código (RCE)

CVE-2019-11510 Pulse Secure Pulse Connect Secure Lectura arbitraria de archivos

CVE-2018-13379 Fortinet FortiOS y FortiProxy Path traversal

ProxyShell y ProxyLogon fueron dos grandes protagonistas, pero no los únicos. Como puedes ver, Log4Shell, ZeroLogon y las vulnerabilidades en Zoho ManageEngine AD SelfService Plus, Atlassian Confluence y VMware vSphere Client, entre otras,, también despertaron el interés de los ciberdelincuentes, poniendo en peligro las infraestructuras que las integran pero que  no las han protegido frente a esas vulnerabilidades. Con respecto al tipo de amenaza, la ejecución remota de código es la vulnerabilidad preferida de los ciberdelincuentes, ocupando 9 de las 15 posiciones.