55 fallos 'zero day' explotados en 2022 revelan la importancia de la gestión de los riesgos de seguridad

Desplegar parches de seguridad lo antes posible sigue siendo una de las mejores formas de prevenir la mayoría de las brechas de seguridad, ya que los atacantes suelen recurrir a exploits para vulnerabilidades conocidas públicamente que tienen un parche disponible, los llamados n-day exploits. Pero mitigar el riesgo de las vulnerabilidades desconocidas para los desarrolladores del software afectado y que no tienen un parche disponible -los fallos zero day- requiere un análisis cuidadoso de los tipos de actores que las explotan, la geografía y las industrias a las que se dirigen, las cargas útiles de malware que despliegan, las tácticas que utilizan y el tipo de productos a los que suelen dirigirse.

Según un análisis de Mandiant, empresa de inteligencia de amenazas y respuesta a incidentes propiedad de Google, los atacantes explotaron 55 fallos zero day el año pasado, menos que los 81 observados en 2021, pero el triple que en 2020 y más que en cualquier año anterior. De hecho, 2020 fue un caso atípico porque los proveedores de seguridad vieron interrumpidos sus flujos de trabajo normales por la pandemia ese año, lo que posiblemente afectó a su capacidad para descubrir y rastrear ataques zero day.

"Prevemos que la tendencia a largo plazo de la explotación zero day seguirá aumentando, con algunas fluctuaciones de un año a otro", afirman los investigadores de Mandiant. "Los atacantes buscan la ocultación y la facilidad de explotación, dos características que pueden ofrecer los ataques zero day. Aunque el descubrimiento de vulnerabilidades zero day es una tarea que requiere muchos recursos y no está garantizado el éxito de su explotación, el número total de vulnerabilidades reveladas y explotadas ha seguido creciendo, los tipos de software objetivo, incluidos los dispositivos de Internet de las Cosas (IoT) y las soluciones en la nube, siguen evolucionando, y la variedad de actores que las explotan se ha ampliado".

De las APT a los operadores de ransomware

Los exploits zero day han sido históricamente un recurso empleado principalmente por grupos de ciberespionaje bien financiados y proveedores comerciales de software espía que venden su llamado software de vigilancia a agencias gubernamentales. Esto se debe a que los exploits zero day son un producto caro con una vida útil corta. Una vez que se detectan, se parchean rápidamente. Esto significa que, para sacarles el máximo partido, los grupos de amenazas los utilizan en campañas muy específicas contra un pequeño número de objetivos de gran valor.

Desarrollar exploits que funcionen de forma fiable en diferentes versiones de un producto y diferentes configuraciones no es tarea fácil. Hacerlo para una vulnerabilidad que no se conocía previamente es un reto aún mayor y requiere acceso a expertos cazadores de errores y creadores de exploits. Como no todo el mundo puede permitirse hacer esto en casa, estos exploits pueden alcanzar cientos de miles o incluso millones de dólares en el mercado negro, lo que los pone fuera del alcance del ciberdelincuente medio.

De los 55 exploits zero day observados en 2022, Mandiant consiguió determinar de forma fiable la motivación y la atribución de 16 de ellos. No sorprende que el 80% de ellos (13 fallos) se utilizaran en ataques de ciberespionaje, pero la sorpresa es que una cuarta parte se utilizó en ataques con motivación financiera, principalmente para desplegar ransomware. Esto pone de manifiesto una tendencia de los ciberdelincuentes a aprovechar también los exploits zero day, especialmente para operaciones con un alto retorno de la inversión. Un fallo se utilizó tanto en ciberespionaje como en ataques con motivación económica, por lo que hubo cierto solapamiento.

De los 13 fallos utilizados para ciberespionaje, siete fueron utilizados por agentes de amenazas chinos, dos por grupos rusos y dos por piratas informáticos norcoreanos. Follina, una vulnerabilidad de ejecución remota de código en Microsoft Support Diagnostic Tool (MSDT) que se aprovechaba a través de documentos de Word, fue empleada tanto por agentes chinos como rusos. Se utilizaron tres fallos en ataques cuya motivación era el ciberespionaje, pero no se determinó la geografía de los atacantes.

"Tres campañas en 2022 fueron particularmente notables debido a la participación de múltiples grupos, objetivos expansivos y enfoque en redes empresariales y dispositivos de seguridad: múltiples grupos explotando CVE-2022-30190 (alias Follina) a principios de 2022, y la explotación en 2022 de las vulnerabilidades CVE-2022-42475 y CVE-2022-41328 de FortiOS", dijeron los investigadores de Mandiant.

Actores chinos interesados en dispositivos de seguridad de red

Al analizar la actividad de los exploits chinos zero day, Mandiant observó un patrón de explotación de dispositivos orientados a Internet, especialmente los utilizados con fines de seguridad gestionada, como firewall, VPN y dispositivos IPS/IDS. En octubre, un actor de amenazas patrocinado por el estado chino explotó CVE-2022-42475, una vulnerabilidad en el servicio FortiOS SSL-VPN de Fortinet.

Los atacantes no sólo explotaron una vulnerabilidad en este dispositivo, sino que desplegaron un implante específicamente diseñado para él, demostrando un profundo conocimiento de los formatos y sistemas indocumentados y propietarios utilizados dentro del sistema operativo. Esto sugiere que se realizó un importante esfuerzo de investigación para comprender los dispositivos. Este interés se ve reforzado por los ataques perpetrados a mediados de 2022 por otro ciberespionaje chino rastreado como UNC3886, que se centró en una vulnerabilidad zero day de FortiOS (CVE-2022-41328) para escribir archivos en los discos del firewall FortiGate.

Otra observación es que los actores chinos del ciberespionaje comparten exploits, algo que los investigadores de seguridad han observado durante mucho tiempo pero que se confirma continuamente. Por ejemplo, la explotación de la vulnerabilidad Follina antes de que fuera parcheada fue observada por tres grupos chinos distintos que tenían como objetivo organizaciones de tres regiones distintas del mundo.

"Mandiant observó oleadas anteriores de adopción progresiva del mismo exploit entre grupos de espionaje chinos antes del lanzamiento de un parche público (por ejemplo, la campaña generalizada ‘ProxyLogon’ a principios de 2021), lo que indica potencialmente la existencia de una infraestructura de desarrollo y logística compartida y posiblemente una entidad coordinadora centralizada", señalaron los investigadores de Mandiant. "La investigación de Mandiant que se remonta a 2013 ha sugerido igualmente una función de apoyo logístico o intendencia que apoya a los grupos de ciberespionaje chinos".

Disminución de la actividad zero day de Rusia y Corea del Norte

Los actores de amenazas rusos siempre han demostrado su capacidad para encontrar y explotar vulnerabilidades zero day, pero Mandiant cree que el año pasado probablemente fueron más cuidadosos con su empleo de tan valiosos productos dada la mayor vigilancia de la actividad rusa en el ciberespacio debido a la guerra en Ucrania.

APT28, también conocido como Fancy Bear, un grupo que se cree que forma parte de GRU, la agencia de inteligencia militar rusa, explotó la vulnerabilidad Follina antes de que fuera parcheada, pero esto podría haber sido oportunista, aprovechando la brecha entre el momento en que el fallo fue revelado públicamente y cuando fue parcheado por Microsoft. Sin embargo, el mismo grupo empleó un exploit zero day diferente para una vulnerabilidad crítica (CVE-2023-23397) en Microsoft Outlook que Microsoft finalmente parcheó este mes. Esta actividad de explotación pasó desapercibida durante mucho tiempo, entre abril y diciembre de 2022, y se dirigió a organizaciones de los sectores gubernamental, militar y energético.

A principios de 2022, agentes de amenazas respaldados por el gobierno norcoreano explotaron una vulnerabilidad zero day en Google Chrome (CVE-2022-0609) para atacar a organizaciones estadounidenses de los sectores de los medios de comunicación, la alta tecnología y las finanzas. Google rastreó esta actividad como Operación Dream Job y Operación AppleJeus. En noviembre, otro grupo de amenazas norcoreano, probablemente APT37, explotó una vulnerabilidad zero day en Windows Server (CVE-2022-41128) en ataques contra organizaciones del sector de la alta tecnología en Corea del Sur.

Los proveedores comerciales de programas espía continúan sus actividades de explotación

Candiru, un proveedor de programas espía con sede en Israel, desplegó su software comercial de ciberespionaje utilizando una vulnerabilidad zero day en Google Chrome (CVE-2022-2294) en 2022. Según los informes, el exploit se lanzó desde un sitio web comprometido utilizado por empleados de una agencia de noticias de Oriente Próximo.

Por otra parte, dos proveedores europeos de programas espía, Variston y DSIRF, desplegaron su software utilizando dos zeo day: uno en Mozilla Firefox (CVE-2022-26485) y otro en Microsoft Windows Server (CVE-2022-22047). Este último se utilizó en ataques de ciberespionaje contra bufetes de abogados, bancos y consultorías estratégicas en Austria, Reino Unido y Panamá.

Disminuye el uso del zero day por parte de ransomware y atacantes con motivaciones financieras

Mandiant atribuyó cuatro exploits zero day a grupos con motivaciones financieras el año pasado, una cifra inferior a la de 2021. Y aunque 2021 fue el año con el mayor número de exploits zero day registrados en general, lo que podría sesgar las estadísticas, hubo eventos en 2022 que podrían explicar una disminución en el uso de zero day por parte de los ciberdelincuentes.

"Algunos de los grupos de ransomware más prolíficos que explotaron zero day en años anteriores tenían operadores con sede en Rusia o Ucrania, y la invasión rusa de Ucrania en febrero de 2022 puede haber interrumpido este ecosistema criminal y contribuido a una disminución en el uso de zero day", dijeron los investigadores de Mandiant. "La disminución general de los pagos de ransomware en 2022 también puede haber reducido la capacidad de los operadores para adquirir o desarrollar zero days".

Dicho esto, el actor de amenazas rastreado como UNC2633 que distribuye el malware Qakbot no perdió la oportunidad de subirse al tren de Follina y explotar esa vulnerabilidad divulgada públicamente antes de que Microsoft tuviera la oportunidad de parchearla. UNC2633 suele distribuir su malware a través de correos electrónicos con archivos adjuntos maliciosos o enlaces que conducen a cargas útiles de malware.

En cuanto a las operaciones de ransomware, el grupo responsable del ransomware Lorenz explotó una vulnerabilidad zero day en el dispositivo VOIP MiVoice Connect de Mitel (CVE-2022-29499), mientras que el grupo responsable del ransomware Magniber explotó dos vulnerabilidades zero day en la función Mark of the Web (MoTW) de Microsoft Windows 11 (CVE-2022-41091 y CVE-2022-44698). Desde entonces, el grupo ha explotado una tercera vulnerabilidad MoTW que afecta a la capacidad de Windows SmartScreen para detectar archivos maliciosos descargados de Internet (CVE-2023-24880).

Los productos de gestión informática son un nuevo objetivo

La mayoría de los fallos zero day observados el año pasado afectaron a sistemas operativos y navegadores, lo cual no es sorprendente, ya que son objetivos tradicionales de los atacantes. Microsoft fue el proveedor más afectado, con 18 vulnerabilidades, 15 de ellas en Windows. Chrome ocupa el segundo lugar con diez vulnerabilidades, nueve de ellas en Chrome y una en Android. Apple ocupa el tercer lugar con nueve vulnerabilidades, cuatro de ellas en macOS y cinco en iOS. Mozilla Firefox también tuvo dos vulnerabilidades.

La sorpresa son las diez vulnerabilidades zero day explotadas por atacantes en una variedad de dispositivos y productos de software de TI, seguridad y gestión de redes. Entre los proveedores afectados figuran Fortinet, Sophos, Trend Micro, Zimbra, Adobe, Atlassian, Cisco, Mitel, SolarWinds, Zoho, QNAP y Citrix. Muchos de estos dispositivos o productos se sitúan en el extremo de la red, lo que los convierte en un blanco fácil para los atacantes. Además, a menudo no están cubiertos por ninguna solución de detección de malware y no ofrecen a los administradores una forma fácil de supervisar sus procesos en ejecución. Al comprometer estos dispositivos, los atacantes a menudo ganan un punto de apoyo sigiloso dentro de una red desde la que pueden realizar actividades de movimiento lateral para comprometer sistemas adicionales y desde donde pueden canalizar fácilmente datos y comandos dentro y fuera de las redes.

Entre 2021 y 2022, casi uno de cada tres exploits zero day se dirigió a vulnerabilidades en productos de proveedores distintos de Microsoft, Apple y Google. Esto significa que las organizaciones deben asegurarse de contar con capacidades de detección y monitoreo para todos los productos y dispositivos en sus pilas tecnológicas, incluidos aquellos que tradicionalmente no han sido blanco de ataques.

"A medida que se diversifican los proveedores y productos a los que se dirigen los ataques zero day, las organizaciones deben priorizar de forma eficiente y eficaz la aplicación de parches en función de sus circunstancias específicas para mitigar suficientemente el riesgo", afirman los investigadores de Mandiant. "Además de las calificaciones de riesgo, sugerimos que las organizaciones analicen lo siguiente: tipos de actores que atacan su geografía o industria específica, malware común, tácticas, técnicas y procedimientos frecuentes de los actores maliciosos, y productos utilizados por una organización que proporcionan las mayores superficies de ataque, todo lo cual puede informar la asignación de recursos para mitigar el riesgo".