Ciberseguridad
Amenazas
cibercrimen

Por qué se están encontrando más vulnerabilidades de día cero en la naturaleza

Dado que el número de días cero se ha disparado en los últimos 18 meses, las organizaciones deben aumentar sus esfuerzos de aplicación de parches. Los proveedores de software también pueden ser más transparentes.

Zero day exploit

El número de días cero (zero-days) explotados en la naturaleza ha sido elevado en el último año y medio, con diferentes tipos de actores que los utilizan. Estas vulnerabilidades, desconocidas para el fabricante de software, son aprovechadas tanto por grupos patrocinados por el Estado como por bandas de ransomware.

Durante el primer semestre de este año, el Proyecto Cero de Google contabilizó casi 20 días cero, la mayoría de los cuales se dirigen a productos creados por Microsoft, Apple y Google, y los navegadores y sistemas operativos ocupan gran parte de ellos. Además, se encontró una vulnerabilidad crítica de ejecución remota de código en el servidor Confluence de Atlassian, que sigue siendo explotada. Pero en 2021, el número de días cero en la naturaleza fue aún mayor. Project Zero encontró 58 vulnerabilidades, mientras que Mandiant detectó 80, más del doble que en 2020.

"Cada día cero que identificamos aumenta nuestra comprensión de lo que es posible y nos permite encontrar mejor vulnerabilidades similares en la misma u otras piezas de tecnología", dice James Sadowski, analista principal de Mandiant. "Cuanto más vemos, más podemos detectar".

Los grupos estatales siguen liderando el juego de los exploits, pero los ciberdelincuentes se están poniendo al día. Alrededor de uno de cada tres actores que utilizaron días cero el año pasado tenía una motivación financiera, según Mandiant.

El aumento de los exploits de día cero y los diversos tipos de actores que los utilizan pueden ser motivo de preocupación para las organizaciones, independientemente de su tamaño. Por otro lado, también puede proporcionar valiosas oportunidades de aprendizaje para la industria de la seguridad.

 

La mayoría de los días cero siguen patrones antiguos

Aunque el número de días cero está en niveles récord, en realidad podría ser aún mayor. "Dado que los atacantes no comparten todos sus días cero con nosotros, el mejor número que podemos rastrear es el de los días cero detectados y divulgados como en estado salvaje, más que el número que se utiliza", afirma Maddie Stone, investigadora de seguridad de Google Project Zero.

En el primer semestre de 2022, los productos más atacados fueron Windows, iOS/macOS, Chrome y Firefox, según la hoja de cálculo pública que mantiene Project Zero. El año pasado, de los 58 días cero descubiertos por el grupo, 14 tenían como objetivo el navegador Chrome: diez eran fallos de ejecución remota de código en el renderizador, dos eran escapes de sandbox, uno era una fuga de información y otro se utilizaba para abrir una página web en aplicaciones Android. Otros explotaban fallos en Internet Explorer, Windows, iOS, Android y Microsoft Exchange Server. Según Project Zero, el año pasado no se conoció ningún día cero que tuviera como objetivo la nube.

"Es probable que los actores de las amenazas continúen centrándose en la explotación de los días cero en los entornos locales porque son más conocidos y, por ahora, todavía se utilizan ampliamente", afirma Sadowski. "Alternativamente, el crecimiento de la explotación de días cero en tecnologías como las VPN puede proporcionar a los actores de amenazas un camino exitoso en las redes corporativas sin explotar a los proveedores de la nube directamente".

La mayoría de los días cero siguieron los mismos patrones de errores vistos en años anteriores. Los investigadores de seguridad afirman que los actores maliciosos seguirán utilizando las viejas técnicas mientras sigan siendo eficaces. Por ejemplo, dos tercios de los días cero encontrados por Project Zero eran vulnerabilidades de corrupción de memoria, y la mayoría de ellos se encuadraban en clases de errores populares como use-after-free, lectura/escritura fuera de los límites, desbordamiento de búfer, y desbordamiento de enteros.

Aunque los autores de malware prefieran utilizar los mismos patrones, también es posible que la comunidad de seguridad simplemente "no detecte con tanta frecuencia las técnicas más novedosas", como dice Sadowski. Stone está de acuerdo. "Detectar días cero es extremadamente difícil porque tienes que detectar algo cuando no sabes lo que es o lo que parece".

 

Por qué hemos visto más exploits de día cero

Los investigadores de seguridad tienen múltiples teorías sobre por qué han detectado tantos días cero en el último año y medio. Sin embargo, lo más probable es que se trate de una combinación de factores. "El aumento de la explotación de días cero por motivos financieros, el resurgimiento de la explotación de días cero por espionaje y la expansión de los intermediarios de exploits de terceros se observaron con una intensidad en 2021 que nunca habíamos detectado antes", afirma Sadowski.

El software también ha crecido en alcance y complejidad. "La superficie de ataque es más grande de lo que nunca ha sido, por lo que es un terreno fértil para encontrar y abusar de las vulnerabilidades", dice Dustin Childs, gerente de comunicaciones de la Iniciativa de Día Cero de Trend Micro, el mayor programa de recompensas de errores agnósticos de proveedores. El retraso en las detecciones en 2020 debido a los efectos de la pandemia también puede haber contribuido al pico observado en 2021.

 

Hay más. Los investigadores atribuyen parte del crecimiento a una mejora en la detección y divulgación. "2021 fue el primer año completo en el que Apple y Android divulgaron públicamente las vulnerabilidades que se conocían, lo que contribuyó a un total de al menos 12 vulnerabilidades que el sector no habría conocido de otro modo", afirma Stone. Ella recomienda que todos los proveedores notifiquen a la comunidad de seguridad cuando parcheen una vulnerabilidad que haya sido explotada. Si Apple y Android no hubieran hecho eso, muchos días cero —informados anónimamente— habrían sido desconocidos para el mundo porque no había investigadores que hablaran de ellos.

 

Los grupos patrocinados por el Estado toman la delantera

La mayoría de los exploits de día cero son utilizados por actores de estados-nación, siendo los grupos chinos los más activos. "De 2012 a 2021, China explotó más días cero que cualquier otra nación", según Mandiant. El año pasado, la empresa de seguridad encontró al menos ocho días cero vinculados a China, frente a dos explotados por Rusia y uno por Corea del Norte.

Varios grupos de actividades de espionaje chinos aprovecharon cuatro vulnerabilidades de Exchange Server conocidas como ProxyLogon. Microsoft relacionó estas vulnerabilidades con el grupo Hafnium "con alta confianza" basándose en las tácticas y procedimientos.

"Mientras que algunos de los grupos de amenazas implicados parecían seleccionar cuidadosamente los objetivos, otros grupos comprometieron decenas de miles de servidores en prácticamente todas las verticales y regiones", dice el informe de Mandiant. "Las operaciones de ciberespionaje chinas en 2020 y 2021 sugieren que Pekín ya no se deja disuadir por las declaraciones formales del gobierno y las acusaciones de los países víctimas".

En cuanto a los grupos patrocinados por Rusia, Mandiant vio menos días cero en comparación con años anteriores. APT28 (también conocido como Fancy Bear, Sofacy o Strontium), por ejemplo, solo fue visto aprovechando un día cero en Microsoft Excel hacia finales de 2021. Sin embargo, otros actores rusos patrocinados por el Estado explotaron varios días cero en 2020 y 2021, con Energetic Bear (Dragonfly 2.0, Berserk, TEMP.Isotope) posiblemente atacando redes de infraestructuras críticas con un día cero en un producto de firewall de Sophos.

 

Los grupos de ransomware son fuentes de días cero

Aunque los días cero suelen ser territorio de grupos patrocinados por el Estado, los investigadores han observado que los ciberdelincuentes están mejorando en el uso de estas herramientas. Mandiant observó un aumento significativo tanto del volumen como de la sofisticación de los exploits utilizados por los grupos de ransomware.

Hay varias razones para ello. En primer lugar, las bandas son cada vez más prósperas, lo que significa que pueden permitirse reclutar a personas altamente cualificadas o pagar por servicios caros. En segundo lugar, las redes profesionales del mundo del ransomware se han ampliado.

Entre los múltiples grupos de ransomware que utilizaron días cero se encuentra UNC2447 SombRAT, que explotó un fallo en SonicWall. Se trataba de una vulnerabilidad crítica de inyección SQL que permitía a los atacantes acceder a nombres de usuario, contraseñas e información de sesión que podían utilizar para iniciar sesión en un dispositivo de la serie SMA 100 sin parches.

Además de los días cero, las bandas criminales también aprovechan las vulnerabilidades que se han descubierto recientemente pero que aún no tienen parche. A veces, un investigador que ha encontrado una vulnerabilidad publica una prueba de concepto (PoC) por frustración o para presionar al proveedor, lo que crea una ventana de tiempo para los atacantes.

Este tipo de cosas pueden seguir ocurriendo en el futuro porque las bandas de ciberdelincuentes prestan atención a todo lo que ocurre en el mundo de la seguridad. "Es probable que los actores maliciosos aprendan de las divulgaciones públicas y del análisis de anteriores días cero y puedan utilizar esa investigación para impulsar su propio análisis y explotación de vulnerabilidades", afirma Sadowski.

 

Los días cero son cada vez más caros

No es sólo el volumen de días cero lo que ha aumentado en el último año y medio. También ha subido el precio que se ofrece a quienes encuentran esos bugs en los mercados gris y negro. En estos momentos, la plataforma de adquisición Zerodium, que vende exploits a los gobiernos, paga hasta 2 millones de dólares por jailbreaks persistentes de iOS que puedan realizarse de forma remota, sin ninguna interacción del usuario, y 2,5 millones de dólares por el mismo tipo de exploit que funcione en Android. "Los exploits de cero clicks son más demandados que los de un solo clic, porque cero clicks significa que no requiere la interacción del usuario para funcionar", dice Stone.

Otros zero-days son menos costosos. Por ejemplo, los fallos en WhatsApp e iMessage se recompensan con hasta 1,5 millones de dólares, y los de Facebook Messenger, Signal y Telegram pueden reportar a un investigador dispuesto a venderlos en el mercado gris hasta 500.000 dólares. Por su parte, las vulnerabilidades de Chrome tienen un precio de hasta 500.000 dólares, mientras que los fallos de Safari, Edge y Firefox llegan a los 100.000 dólares.

La Zero Day Initiative ofrece todo esto, pero opera en el mercado blanco, siendo un intermediario entre los hackers de sombrero blanco y las empresas que pueden explotar. Childs dice que se tienen en cuenta muchas cosas a la hora de fijar un precio, como "la demanda, la eficacia y la estabilidad". Por ejemplo, si el vector de ataque no requiere autenticación o interacción del usuario, ese exploit costará más. "La estabilidad también es un factor importante", dice. "¿Es el exploit 100% fiable, o falla a veces?".

Según Childs, el número de usuarios de un determinado software también influye: cuanto mayor sea el número de víctimas potenciales, más generosa será la tarifa. "El mercado de exploits se comporta como cualquier otro mercado. Siempre hay diferentes factores que hacen subir y bajar los costes", dice Childs.

 

Mejorar la protección contra los días cero

Con los hackers patrocinados por el Estado y los ciberdelincuentes que aprovechan los días cero a un ritmo elevado, las organizaciones tienen muchas razones para mejorar la protección. Aunque estos fallos se sitúan en el ámbito de lo desconocido, los equipos de seguridad pueden reducir el riesgo de verse comprometidos.

Un componente clave de la protección es la aplicación de parches, que debe hacerse rápidamente, sobre todo en el caso de los activos públicos y ampliamente utilizados. Si no, la organización puede quedar expuesta. Un ejemplo:  Atlassian ha publicado un parche de seguridad que soluciona el error crítico del servidor Confluence, pero no todas las organizaciones pudieron instalar la corrección con la suficiente rapidez. Sophos observó varios grupos que aprovecharon esta vulnerabilidad para lanzar el ransomware Cerber, variantes del bot Mirai o el criptominero z0miner. Es útil que las organizaciones tengan una lista actualizada de todos sus activos de software y hardware, con la fecha de compra y la fecha prevista de fin de vida útil incluida.

Los investigadores de seguridad también recomiendan que las organizaciones configuren adecuadamente sus redes para dificultar el salto de los atacantes de un lugar a otro. Los expertos en seguridad también deben buscar cualquier comportamiento sospechoso y asegurarse de que su personal y sus socios practican una buena seguridad.

Los proveedores de software también pueden ayudar. Es esencial que apliquen correctamente los parches de seguridad, dice Childs, porque una vez que se emite un parche, los actores maliciosos tratarán de hacer ingeniería inversa para encontrar la vulnerabilidad exacta que intentó corregir. "Los errores son difíciles de encontrar, hasta que un proveedor publica un parche y te dice dónde están", dice Childs. "Los exploits de N días, que se conocen desde hace n días, siempre han sido más populares para los actores de amenazas que los de cero días".

Stone, de Projecto Zero, sugirió que algunas organizaciones podrían cambiar ligeramente su forma de trabajar. "Es un estándar de la industria parchear las vulnerabilidades, pero no es tan común mitigar cada técnica de explotación", dice. "Hacer esto podría obligar a los atacantes a desarrollar nuevas técnicas de explotación cada vez que quieran desarrollar un día cero".



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper