10 incidentes de seguridad de la última década que definen la industria

La última década ha sido testigo de una serie de momentos decisivos que han tenido importantes repercusiones en el panorama de la ciberseguridad. Vulnerabilidades graves, explotaciones masivas y ciberataques generalizados han reconfigurado muchos aspectos de la seguridad moderna. Para hacer un balance de los últimos 10 años, el proveedor de ciberseguridad Trustwave ha publicado el artículo Retrospectiva de una década: El estado de las vulnerabilidades, que incluye una lista de lo que considera los 10 problemas de seguridad de la red más destacados y notables de los últimos 10 años.

"Es difícil contar la historia completa sobre el panorama de la seguridad de la red de la última década porque las herramientas de seguridad y los registradores de eventos han evolucionado tanto recientemente, que muchas de las métricas que hoy damos por sentadas simplemente no existían hace 10 años", se lee en el blog. "Sin embargo, los datos disponibles proporcionan suficiente información para detectar algunas tendencias significativas. La tendencia más evidente, basada en fuentes como la National Vulnerability Database (NVD), Exploit-DB, VulnIQ y los propios datos de seguridad de Trustwave, es que los incidentes de seguridad y las vulnerabilidades individuales han aumentado en número y se han vuelto más sofisticados", añadía.

Aquí están los 10 incidentes de seguridad de Trustwave que han definido la última década, sin ningún orden en particular.

 

1. El hackeo de SolarWinds y la brecha de FireEye

En lo que Trustwave llamó la "brecha más paralizante y devastadora de la década", un ciberataque a la cadena de suministro en la herramienta de monitoreo de red SolarWinds Orion en diciembre de 2020, envió ondas de choque en todo el mundo. Varias empresas y agencias gubernamentales estadounidenses fueron víctimas de esta campaña, en la que los ciberdelincuentes se aprovecharon de las herramientas de red teaming de FireEye y de los datos internos de inteligencia sobre amenazas para plantar una actualización de puerta trasera maliciosa (apodada SUNBURST) que afectó a unos 18.000 clientes y otorgó a los atacantes la capacidad de modificar, robar y destruir datos en las redes. SolarWinds declaró posteriormente que, aunque miles de organizaciones descargaron el malware, el número real de clientes hackeados a través de SUNBURST fue inferior a 100. Esta cifra coincide con las estimaciones publicadas por la Casa Blanca.

A pesar de que se emitió un parche el 13 de diciembre de 2020, los servidores infectados existen hoy en día y los ataques siguen produciéndose debido a que las empresas no son conscientes de los vectores latentes establecidos antes del parche, dijo Trustwave.

En declaraciones a CSO en diciembre del año pasado, David Kennedy, ex pirata informático de la NSA y fundador de la empresa de consultoría de seguridad TrustedSec, dijo: "Cuando se observa lo que sucedió con SolarWinds, es un ejemplo excelente de cómo un atacante podría seleccionar literalmente cualquier objetivo que tenga su producto desplegado, que es un gran número de empresas de todo el mundo, y la mayoría de las organizaciones no tendrían la capacidad de incorporar eso en la forma en que responderían desde una perspectiva de detección y prevención."

En junio de 2021, el profesor de gestión de la Universidad de Richmond y experto en gestión de riesgos e ingeniería industrial y de operaciones, Shital Thekdi, dijo que el ataque de SolarWinds no tenía precedentes debido a "su capacidad para causar consecuencias físicas significativas", afectando a "proveedores de infraestructuras críticas, impactando potencialmente en las capacidades de energía y fabricación" y creando una intrusión continua que "debe ser tratada como un evento serio con potencial de gran daño".

 

2. El exploit EternalBlue y los ataques de ransomware WannaCry/NotPetya

El siguiente en la lista de Trustwave es el exploit EternalBlue y los posteriores incidentes de ransomware de 2017. El grupo de hackers Shadow Brokers filtró importantes exploits robados a la Agencia de Seguridad Nacional de Estados Unidos (NSA) que se utilizaron para llevar a cabo los muy dañinos brotes de ransomware WannaCry y NotPetya, que afectaron a muchos miles de sistemas en todo el mundo, causando especial daño a los servicios de salud en el Reino Unido y Ucrania. El exploit más importante, apodado EternalBlue, tenía como objetivo la vulnerabilidad CVE-2017-0144, que Microsoft había parcheado un mes antes de la filtración de Shadow Brokers. Según Trustwave, el exploit EternalBlue sigue activo a día de hoy con Shodan, el popular motor de búsqueda de dispositivos conectados a Internet, que actualmente enumera más de 7.500 sistemas vulnerables.

En 2017, los investigadores de RiskSense afirmaron que "el exploit EternalBlue es altamente peligroso ya que puede proporcionar acceso instantáneo, remoto y sin autenticación a casi cualquier sistema Microsoft Windows sin parches, que es uno de los sistemas operativos más utilizados que existen tanto para el mundo doméstico como para el empresarial".

 

3. Fallo Heartbleed en OpenSSL

La vulnerabilidad Heartbleed de 2014 sigue latiendo, se estima que amenaza a más de 200.000 sistemas vulnerables hasta el día de hoy, según ha declarado Shodan, el blog de Trustwave. Los investigadores de seguridad descubrieron el grave fallo (CVE-2014-0160) en OpenSSL, la tecnología de cifrado que protege la web. Fue bautizado como Heartbleed porque el fallo existía en la implementación de OpenSSL de la extensión del latido del corazón de TLS/DTLS (protocolos de seguridad de la capa de transporte) (RFC6520) y permitía a cualquiera en Internet leer la memoria de los sistemas.

Heartbleed causó un pánico masivo y fue rápidamente calificado como uno de los peores fallos de seguridad de la historia de Internet, y el pionero de la seguridad informática Bruce Schneier declaró en su blog: "Catastrófico es la palabra correcta. En la escala del 1 al 10, esto es un 11".

En un artículo escrito para CSO en 2014, el asesor de seguridad Roger Grimes estableció un plan de tres pasos para ayudar a las organizaciones a obtener el control de sus entornos OpenSSL y mitigar el fallo Heartbleed, añadiendo "OpenSSL probablemente se ejecuta en el 60% o más de los sitios web que ofrecen conexiones HTTPS y se utiliza para muchos otros servicios populares que utilizan protocolos basados en SSL-/TLS, como POP/S, IMAP/S y VPNs. Es muy probable que si puedes conectarte a un servicio basado en SSL-/TLS y no está ejecutando Microsoft Windows o Apple OS X, sea vulnerable".

 

4. Ejecución remota de código Shellshock en Bash

Shellshock (CVE-2014-7169) es un error en la interfaz de línea de comandos "Bourne Again Shell" (Bash) y existió durante 30 años antes de su descubrimiento en 2014, escribió Trustwave. "La vulnerabilidad fue considerada incluso más grave que Heartbleed, ya que permitía a un atacante tomar el control completo de un sistema sin tener un nombre de usuario y una contraseña", añadió la firma. Se emitió un parche en septiembre de 2014 y Shellshock se considera actualmente inactivo, la última escena de la campaña Tortuga marina de 2019, en la que los hackers utilizaron el secuestro de DNS para acceder a sistemas sensibles.

Comentando en 2014, Daniel Ingevaldson, CTO de Easy Solutions dijo: "La explotación de esta vulnerabilidad se basa en que la funcionalidad de bash sea de alguna manera accesible desde Internet. El problema con bash es que se utiliza para todo. En un sistema basado en Linux, bash es el shell por defectoy, y cada vez que un proceso habilitado para la web necesita llamar a un shell para procesar la entrada, ejecutar un comando (como ping, o sed, o grep, etc.) llamará a bash".

 

5. Inyección de comandos remotos de Apache Struts y violación de Equifax

Esta vulnerabilidad crítica de día cero afecta al analizador sintáctico Jakarta Multipart en el marco de desarrollo de aplicaciones web Apache Struts 2, descubierto en 2017. "Esta vulnerabilidad permitía ataques de inyección de comandos remotos al analizar de forma incorrecta el encabezado HTTP Content-Type inválido de un atacante", decía. Meses después, el gigante de la información crediticia Equifax anunció que los hackers habían accedido a los datos de la compañía comprometiendo potencialmente información sensible perteneciente a 143 millones de personas en Estados Unidos, Reino Unido y Canadá. Un análisis posterior identificó que los atacantes utilizaron la vulnerabilidad (CVE-2017-5638) como vector de ataque inicial.

En septiembre de 2017, Adam Meyer, estratega jefe de seguridad de la empresa de inteligencia de amenazas SurfWatch Labs dijo: "Esta violación de datos en particular afectará a una pila de autenticación utilizada que muchas organizaciones y agencias federales utilizan para combatir sus propias formas de fraude". Trustwave consideró que esta vulnerabilidad está actualmente inactiva.

 

6. Vulnerabilidades de ejecución especulativa Meltdown y Spectre

Lo que acuñó como "Chipocalipsis". Trustwave citó en su siguiente listado las importantes vulnerabilidades de CPU conocidas como Meltdown y Spectre de 2018. Estas pertenecen a una clase de fallos llamados vulnerabilidades de ejecución especulativa que pueden ser el objetivo de los atacantes para explotar las CPU que ejecutan las computadoras, para obtener acceso a los datos almacenados en la memoria de otros programas en ejecución. "Meltdown" (CVE-2017-5754) rompe el mecanismo que impide a las aplicaciones acceder a la memoria arbitraria del sistema. Spectre (CVE-2017-5753 y CVE-2017-5715) engaña a otras aplicaciones para que accedan a ubicaciones arbitrarias dentro de su memoria. Ambos ataques utilizan canales laterales para obtener la información de la ubicación de memoria objetivo", se lee en el blog.

Ambas vulnerabilidades son significativas porque abren posibilidades de ataques peligrosos. Por ejemplo, el código JavaScript en un sitio web podría usar Spectre para engañar a un navegador web para que revele información de usuario y contraseña. Los atacantes podrían explotar Meltdown para ver los datos propiedad de otros usuarios e incluso de otros servidores virtuales alojados en el mismo hardware, lo que es potencialmente desastroso para los hosts de computación en la nube. Afortunadamente, Trustwave declaró que Meltdown y Spectre parecen actualmente inactivos, sin que se haya encontrado ningún exploit en la naturaleza.

 

7. BlueKeep y los escritorios remotos como vector de acceso

Años antes del paso al trabajo remoto masivo y de los riesgos de seguridad desencadenados por la pandemia COVID-19 en marzo de 2020, se sabía que los ciberdelincuentes apuntaban a los escritorios remotos en los ataques, explotando las vulnerabilidades de RDP para robar datos personales, credenciales de inicio de sesión e instalar ransomware. Sin embargo, en 2019, la amenaza de los escritorios remotos como vector de ataque realmente pasó a primer plano con el descubrimiento de BlueKeep, una vulnerabilidad de ejecución remota de código en los servicios de escritorio remoto de Microsoft. "Los investigadores de seguridad consideraron BlueKeep especialmente grave porque era wormable, lo que significa que los atacantes podrían usarlo para propagar el malware de ordenador a ordenador sin intervención humana", ha explicado Trustwave.

De hecho, tal era la gravedad del problema, que la Agencia de Seguridad Nacional de Estados Unidos (NSA) emitió su propio aviso al respecto. "Este es el tipo de vulnerabilidad que los ciberactores maliciosos suelen explotar mediante el uso de código de software que se dirige específicamente a la vulnerabilidad. Por ejemplo, la vulnerabilidad podría ser explotada para realizar ataques de denegación de servicio. Es probable que sólo sea cuestión de tiempo que las herramientas de explotación remota estén ampliamente disponibles para esta vulnerabilidad. A la NSA le preocupa que los ciberagentes malintencionados utilicen la vulnerabilidad en ransomware y kits de explotación que contengan otros exploits conocidos, aumentando las capacidades contra otros sistemas sin parches".

Trustwave asegura que BlueKeep sigue activo y ha encontrado más de 30.000 instancias vulnerables en Shodan.

 

8. La serie Drupalgeddon y las vulnerabilidades de los CMS

La serie Drupalgeddon consta de dos vulnerabilidades críticas que todavía se consideran activas a día de hoy por el FBI, según Trustwave. La primera, CVE-2014-3704, se descubrió en 2014 y toma la forma de una vulnerabilidad de inyección SQL en el sistema de gestión de contenidos de código abierto Drupal Core, que los actores de la amenaza explotaron para hackear un número masivo de sitios web. Cuatro años más tarde, el equipo de seguridad de Drupal reveló otra vulnerabilidad extremadamente crítica apodada Drupalgeddon2 (CVE-2018-7600) que resultó de una validación de entrada insuficiente en la API de formularios de Drupal 7, y permitió a un atacante no autenticado realizar la ejecución remota de código en instalaciones de Drupal predeterminadas o comunes. "Los atacantes utilizaron la vulnerabilidad Drupalgeddon2 para minar la criptomoneda Monero en servidores con instalaciones de Drupal comprometidas", ha escrito Trustwave.

A finales de 2014, el Departamento de Educación de Indiana culpó a la primera vulnerabilidad de Drupal de un ataque a su sitio web que le obligó a retirarlo temporalmente mientras se solucionaba el problema.

 

9. La vulnerabilidad OLE de Microsoft Windows Sandworm

La penúltima vulnerabilidad de la lista de Trustwave es la de Microsoft Windows Object Linking and Embedding (OLE) CVE-2014-4114, detectada en 2014. "El fallo fue utilizado en campañas de ciberespionaje rusas dirigidas a organizaciones gubernamentales de la OTAN, Ucrania y Occidente, y a empresas del sector energético", se lee en el blog. La vulnerabilidad se ganó el apodo de Sandworm debido al grupo de atacantes que lanzó la campaña: el "Equipo Sandworm". Trustwave la considerada actualmente inactiva.

 

10. Vulnerabilidades de Ripple20 y el creciente panorama del IoT

El último en la lista de Trustwave son las vulnerabilidades de Ripple20, que ponen de manifiesto los riesgos que rodean el creciente panorama del IoT. En junio de 2020, la empresa israelí de seguridad de IoT JSOF publicó 19 vulnerabilidades llamadas colectivamente Ripple20 para ilustrar el "efecto dominó" que tendrán en los dispositivos conectados en los próximos años. "Las vulnerabilidades estaban presentes en la pila de red Treck, utilizada por más de 50 proveedores y millones de dispositivos, incluidos los dispositivos de misión crítica en la atención médica, los centros de datos, las redes eléctricas y la infraestructura crítica", declaró Trustwave.

Como señaló CSO en 2020, algunos de los fallos podrían permitir la ejecución remota de código a través de la red y llevar a un compromiso total de los dispositivos afectados. Las vulnerabilidades de Ripple20 siguen activas en la actualidad, según Trustwave.

Las vulnerabilidades plantean riesgos mucho tiempo después de su detección si las organizaciones no aplican parches. Trustwave ha citado el hecho de que varias de las vulnerabilidades presentes en su lista se detectaron hace casi una década, y sin embargo muchas de ellas siguieron planteando riesgos a lo largo del tiempo incluso después de que los parches y las correcciones estuvieran disponibles. Esto sugiere que las organizaciones:

1. Carecen de la capacidad de rastrear y registrar múltiples servicios que se ejecutan en una red.
2. Luchan por asegurar y parchear los activos sin interrumpir el flujo de trabajo.
3. Reaccionan lentamente a los días cero descubiertos.

Es probable que esto se vuelva más importante dado el fuerte aumento de las vulnerabilidades de seguridad de día cero detectadas en 2021, agrega Trustwave.

Alex Rothacker, director de investigación de seguridad en Trustwave Spiderlabs, ha explicado a CSO que las organizaciones están constantemente poniéndose al día para parchear las últimas vulnerabilidades. "Esto es extremadamente desafiante, especialmente para las organizaciones más pequeñas con personal limitado o no dedicado. Incluso para las organizaciones más grandes, no siempre hay un parche disponible. Tomemos como ejemplo Log4j. La mayoría de las versiones vulnerables de Log4j forman parte de paquetes de software de terceros más grandes y muchos de estos proveedores de terceros todavía luchan por actualizar completamente sus complejas aplicaciones".

Además, a medida que pasa el tiempo, el enfoque se desplaza a la siguiente vulnerabilidad, lo que lleva a que los parches más antiguos a veces se pasen por alto, añade Rothacker. "Cuanto más antigua es una vulnerabilidad, más información está disponible sobre cómo explotarla. Básicamente, esto hace que la vulnerabilidad sea una fruta al alcance de la mano, que requiere menos habilidad por parte del atacante para explotar la vulnerabilidad conocida. Para los atacantes sofisticados, es un objetivo fácil".