1 de cada 4 CVE de alto riesgo es explotado en las primeras 24 horas después de hacerse público

-


El 25% de los errores de alto riesgo fueron explotados el mismo día de su publicación.

Investigadores han descubierto que el 25% de las vulnerabilidades de alto riesgo fueron explotadas el mismo día de su publicación.

En un blog de investigación publicado el martes por Qualys, los investigadores identificaron varias tendencias relacionadas con la divulgación de Vulnerabilidades y Exposiciones Comunes (CVEs) reportadas en el último año. Junto con la rapidez con la que los piratas informáticos aprovecharon los errores conocidos, también señalaron que 97 de las vulnerabilidades de alto riesgo reportadas en 2023 (hasta ahora), que probablemente fueron explotadas, nunca llegaron al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA.

"La rápida explotación de vulnerabilidades, especialmente en el mismo día de su divulgación, es una preocupación sustancial", dijo Saeed Abbasi, gerente de investigación de vulnerabilidades en Qualys. "Deja a las organizaciones un tiempo mínimo para reaccionar y parchar estas vulnerabilidades, aumentando el riesgo de violaciones y ciberataques. Esta tendencia destaca la necesidad crítica de estrategias proactivas y eficientes de gestión de vulnerabilidades".

Aquí hay algunas conclusiones clave de Qualys:
  • Menos del 1% de las vulnerabilidades contribuyeron al riesgo más alto y se explotaron rutinariamente en el entorno real.
  • Un tercio de las vulnerabilidades de alto riesgo afectaron a dispositivos de red y aplicaciones web.
  • Las tres tácticas principales de MITRE ATT&CK incluyeron: explotación de servicios remotos y aplicaciones de cara al público; y explotación para escalada de privilegios.
"Nuestra investigación muestra que las vulnerabilidades que los actores amenazantes pueden aprovechar son bienes muy valorados", dijo Abbasi. "Así, siempre que se identifica una vulnerabilidad que puede ser fácilmente explotada e impacta a una amplia gama de sistemas desplegados popularmente, los atacantes son rápidos para capitalizarlas".

John Gallagher, vicepresidente en Viakoo Labs, añadió que, según los hallazgos del informe de Qualys, las organizaciones necesitan evaluar sus estrategias de mitigación y remedio de amenazas. Gallagher dijo que las amenazas están aumentando en volumen y velocidad, haciendo que la automatización sea fundamental para que las organizaciones reduzcan su tiempo medio de explotación.

"Se necesita un enfoque de seguridad en profundidad o en capas para abordar el 25% de las vulnerabilidades que son explotadas el día de su publicación", dijo Gallagher. "La mayoría de las organizaciones carecen de la automatización necesaria para aplicar parches tan rápidamente, especialmente en entornos de IoT donde el parcheo puede ser más complejo que para sistemas de TI".

Gallagher dijo que los equipos de seguridad también deberían seguir las mejores prácticas para detener el movimiento lateral y la ejecución remota de código en toda la organización: asegurarse de que la organización tenga una segmentación de red efectiva que tenga en cuenta todos los dispositivos y aplicaciones; tener métodos para automatizar el parcheo y la rotación de contraseñas en flotas de dispositivos; y buscar extender la confianza cero a todos los sistemas conectados a la red.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más

El FBI advierte sobre suplantación de correo electrónico por parte del actor de amenazas norcoreano Kimsuky

-
Imagen
El actor de amenazas norcoreano Kimsuky está aprovechando nuevas tácticas de suplantación de correo electrónico en sus recientes campañas de spearphishing, advirtieron conjuntamente el Buró Federal de Investigaciones (FBI), el Departamento de Estado de EE. UU. y la Agencia de Seguridad Nacional (NSA) el jueves en un aviso conjunto . Kimsuky, también conocido como Emerald Sleet o APT43, es una subunidad de la Oficina General de Reconocimiento (RGB) del ejército norcoreano y es conocido por sus campañas de spearphishing destinadas a recopilar inteligencia sobre asuntos que afectan los intereses norcoreanos. Esto incluye información sobre eventos geopolíticos y las estrategias de política exterior de los adversarios de Corea del Norte. El modus operandi del grupo es hacerse pasar por periodistas legítimos, grupos de expertos, académicos y otros expertos en asuntos del este asiático, convenciendo a las víctimas de abrir enlaces o documentos maliciosos bajo el pretexto de ofrecer una entrev...
Leer más