Вы находитесь на странице: 1из 40

INVESTIGACIÓN

Informe
de inteligencia
de vulnerabilidades
Contenido
Resumen 03 Vulnerabilidades
de alto perfil 32
Puntos importantes 04
Cronología de vulnerabilidades 33

Introducción 05
Contribuyentes 36
Investigación principal 36
El estado de las Expertos en la materia 36
vulnerabilidades 06
Tendencias de
Anexo 37
revelación de vulnerabilidades 06
Puntos importantes 06 Calificaciones de gravedad de CVSS 37

Análisis 07 Años de revelación de CVE 37

Versiones de CVSS y priorización 09 Metodología 38


Principales vulnerabilidades 11 Conjunto de datos 38

Puntos importantes 12 Predominio 38

Análisis 13 CVE en comparación con vulnerabilidades 38

Gráfico de las 20 principales Metodología de entrevista 38

vulnerabilidades 16
Conclusiones 19
Vulnerabilidades de navegadores web Notas finales 39
y aplicaciones 20
Puntos importantes 20
Vulnerabilidades de navegadores web 21
Gráfico de las 10 principales vulnerabilidades
de navegadores web 23
Vulnerabilidades de aplicaciones 26
Gráfico de las 10 principales
vulnerabilidades de aplicaciones 30

2 Informe de INTELIGENCIA DE VULNERABILIDADES


Resumen
En este informe, brindamos A lo largo de este informe,
utilizamos los términos
una descripción general de las “vulnerabilidad” y “CVE” de
manera indistinta. Common
tendencias actuales de divulgación de Vulnerabilities and Exposures1
(CVE) es “una lista de entradas
vulnerabilidades y los conocimientos (cada una contiene un número de

sobre la demografía de vulnerabilidades identificación, una descripción


y, al menos, una referencia
reales en entornos empresariales. pública) de vulnerabilidades
de ciberseguridad conocidas
Analizamos la preponderancia de públicamente”2. Un identificador
de CVE describe una
las vulnerabilidades que circulan vulnerabilidad única, conforme

libremente en función de la cantidad a lo cual “único” puede referirse


a único en un sistema operativo
de empresas afectadas para resaltar determinado para una versión
específica en lugar de en general.
las vulnerabilidades que enfrentan
En realidad, varias CVE
los profesionales de seguridad en la pueden referirse a la misma
“vulnerabilidad”, (por ejemplo,
práctica y no solo en teoría. Nuestro una vulnerabilidad que afecta
estudio confirma que la gestión de a un navegador disponible en
diversos sistemas operativos,
vulnerabilidades es un desafío de como Microsoft Windows, Red Hat
Enterprise Linux y SUSE Linux).
escala, velocidad y volumen. No es
Para asegurarnos de que
solo un desafío de ingeniería, sino que tenemos datos comparables
para vulnerabilidades nuevas
exige una visión centrada en el riesgo y antiguas, siempre que nos
para priorizar miles de vulnerabilidades referimos a “CVSS” o “gravedad”,
generalmente hacemos
que superficialmente todas parecen alusión a CVSSv2, a menos que
indiquemos lo contrario. Por lo
ser iguales. general, usamos CVSSv2 cuando
comparamos datos históricos de
vulnerabilidades y CVSSv3 solo
cuando tenemos en cuenta datos
más recientes, cuando hay datos
de CVSSv3 disponibles.

3 Informe de INTELIGENCIA DE VULNERABILIDADES


Puntos importantes
El aumento de las vulnerabilidades nuevas continúa de manera incesante:

• Se publicaron 15.038 vulnerabilidades nuevas en 2017 como CVE3 en comparación con 9837 de 2016,
lo que representa un aumento del 53 %.

• El primer semestre de 2018 muestra un aumento del 27 % en comparación con el primer semestre
de 2017. Se prevén entre 18.000 y 19.000 nuevas vulnerabilidades este año.

La priorización solo en función de la gravedad o explotabilidad alta es cada vez más ineficaz debido al
volumen total:

• El 54 % de las nuevas CVE de 2017 se calificaron como CVSSv3 7 (Alta) o superior.

• Se dispone de exploits públicas para el 7 % de las vulnerabilidades.

• Para las vulnerabilidades donde haya disponibles calificaciones CVSS de versión 2 y 3, y sea
posible una comparación (principalmente después de 2016), CVSSv3 califica a la mayoría de las
vulnerabilidades como altas o críticas (CVSSv2 31 % frente a CVSSv3 60 %).

La gestión de vulnerabilidades empresariales es un desafío de escala, volumen y velocidad:

• La población activa (22.625) de distintas vulnerabilidades que realmente reside en entornos
empresariales representa el 23 % de todas las CVE posibles (107.710).

• Casi dos tercios (el 61 %) de las vulnerabilidades que las empresas encuentran en sus entornos
tienen una gravedad CVSSv2 alta (entre 7 y 10).

• Las vulnerabilidades con un puntaje CVSSv2 de 9 a 10 representan el 12 % de toda la población de


vulnerabilidades. En promedio, una empresa encuentra 870 CVE por día en 960 activos4. Esto significa
que las metodologías de priorización en función solo de la reparación de CVE críticas aún dejan a la
empresa promedio con más de cien vulnerabilidades por día para priorizar por parche, a menudo, en
varios sistemas.

• Se descubrieron cantidades considerables de antiguas vulnerabilidades de Oracle Java, Adobe Flash,
Microsoft IE y Office en entornos empresariales (algunas con una antigüedad superior a una década).
Hay aplicaciones antiguas, descontinuadas y fuera de uso circulando libremente, y las aplicaciones
heredadas siguen siendo una fuente importante de riesgo residual.

4 Informe de INTELIGENCIA DE VULNERABILIDADES


Introducción
El descubrimiento y la revelación de vulnerabilidades consecuencia directa de una gestión de vulnerabilidades
continúa aumentando en términos de volumen y ritmo. Solo ineficaz. Nuestra propia investigación lo confirma. En nuestro
en 2017, se publicó un promedio de 41 nuevas vulnerabilidades informe “Quantifying the Attacker’s First-Mover Advantage”
por día, lo que genera un total de 15.038 por año. Además, el (Cuantificación de la Ventaja del Atacante como Primero
aumento de las vulnerabilidades recientemente reveladas en en Actuar)9 de mayo de 2018, detectamos que los atacantes
el primer semestre de 2018 mostró un aumento del 27 % en el tienen una ventana de siete días en la cual existe un exploit
primer semestre de 2017.5 disponible antes de que las empresas siquiera se den
cuenta de que son vulnerables. En nuestro informe “Cyber
Las vulnerabilidades de alto perfil también se han convertido Defender Strategies” (Estrategias de Defensa Cibernética)10,
en una característica habitual de los principales titulares y, a concluimos que casi el 52 % de las empresas tienen una
menudo, se mencionan como la causa principal de la filtración evaluación de vulnerabilidades de madurez baja.
masiva de datos. Ya sea la filtración de datos de Equifax6 o
WannaCry7, la realidad es que muchos incidentes de alto perfil Tratar de reparar y mitigar todas las vulnerabilidades
podrían haberse evitado con una mejor higiene cibernética. reveladas, incluso al priorizar las vulnerabilidades Altas y
De hecho, 57 % de las empresas que fueron objeto de una Críticas, es un ejercicio inútil, como lo demuestran nuestros
filtración de datos en los últimos dos años afirman que una datos. La realidad es que nunca se desarrolló un exploit que
vulnerabilidad conocida y sin parches fue la causa principal8. funcione para la mayoría de las vulnerabilidades. Y, de esos,
un subconjunto aún más pequeño está armado activamente
Las amenazas de día cero y las amenazas avanzadas son y lo emplean actores de amenazas.
temas contundentes para los medios de comunicación, pero
las amenazas avanzadas, en especial, los actores de amenazas La gestión de vulnerabilidades en volumen y escala en
a nivel nacional, no son algo cotidiano para la empresa diferentes equipos exige inteligencia procesable. De lo
promedio. La mayoría de las filtraciones de datos no suponen contrario, no estamos tomando decisiones informadas,
ataques sofisticados ni exploits de día cero. estamos adivinando. Un déficit de inteligencia en la gestión
de la vulnerabilidades está generando consecuencias en el
Es verdad que si puede defenderse contra amenazas mundo real: el 34 % de las organizaciones objeto de filtración
avanzadas, también podrá detener los ataques oportunistas. de datos indican que conocían la vulnerabilidad que generó la
Pero no así a la inversa. Si no puede detener las amenazas filtración antes de que ocurriera.11
básicas, definitivamente no podrá defenderse de las más
avanzadas. Y lo que es más importante, aunque, en realidad, El problema es que tenemos demasiada información y no
nunca podremos mitigar todas las vulnerabilidades que suficiente inteligencia. Convertir la información en inteligencia
existen en nuestros entornos, podemos fortalecer nuestra exige interpretación y análisis; algo que no se escala fácilmente.
superficie para dificultar el accionar de un atacante en la La solución reside en poner en práctica la inteligencia en
máxima medida posible. función de las características únicas de su organización: sus
activos y vulnerabilidades digitales más críticos.
Al mismo tiempo, también debemos ser realistas y reconocer
que conservar una buena higiene cibernética es difícil. Exige Este informe presenta un poco de ambas: las tendencias
colaboración y orquestación entre diversas organizaciones generales globales en materia de vulnerabilidades y la
y dominios. Las unidades de negocios deben tratar de inteligencia puesta en práctica en función de que las empresas
conciliar los objetivos y las prioridades en conflicto en pos realmente tienen que enfrentar en sus propios entornos.
de reducir los riesgos. La verdad es que las complejidades
técnicas y los desafíos de escala implicados en la gestión Este informe también presenta el Gráfico de las 20 principales
de vulnerabilidades empresariales casi nunca son el único vulnerabilidades que brinda información sobre las
inhibidor para la elaboración y puesta en marcha de un vulnerabilidades más comunes en diferentes tecnologías de
programa maduro de gestión de vulnerabilidades. La gestión los entornos empresariales. El Gráfico de las 20 principales
eficaz de amenazas y vulnerabilidades también depende de la vulnerabilidades aprovecha datos de telemetría reales para
armonía entre las personas, los procesos y la tecnología. determinar qué vulnerabilidades están realmente presentes en
los entornos empresariales, en lugar de solo existir en bases de
Aparte de la ingeniería social como el vector de ataque inicial, datos de vulnerabilidades, y, por lo tanto, brinda una visión más
la mayoría de las filtraciones de datos modernas son una confiable del estado real de la población de vulnerabilidades.

5 Informe de INTELIGENCIA DE VULNERABILIDADES


El estado de las vulnerabilidades
Tendencias de Revelación de Vulnerabilidades
En esta sección, abordamos las tendencias actuales de revelación de vulnerabilidades. Para denotar vulnerabilidades específicas,
utilizamos los identificadores de Common Vulnerability and Exposures (CVE). Las CVE en sí mismas tienen algunos problemas
conocidos, especialmente en relación con la exhaustividad y la puntualidad12, pero muchos las consideran una norma oficial, por lo
que aquí la usamos como referencia.

PUNTOS IMPORTANTES

En 2017, el aumento de las vulnerabilidades reveladas recientemente continúa de manera incesante:

• Se revelaron 15.038 vulnerabilidades nuevas, en comparación con 9837 en 2016, lo que representa un
aumento del 53 %.

• Había exploits públicas disponibles para el 7 % de todas las vulnerabilidades reveladas.

• El 54 % de las nuevas CVE de 2017 se calificaron como CVSSv3 7 (Alta) o superior.

• Se proyectan entre 18.000 y 19.000 vulnerabilidades nuevas para 2018, con una tasa de crecimiento
actual del 27 %en comparación con 2017.

El cambio de CVSSv2 a CVSSv3 tiene un impacto importante en la distribución de la gravedad:

• CVSSv3 califica a la mayoría de las vulnerabilidades como Altas y Críticas.

• CVSSv2 califica al 31 % de las CVE como de gravedad Alta, en comparación con el 60 % con
gravedad Alta o Crítica en virtud de CVSSv3.

CVSS no tiene suficiente granularidad, como medida de priorización en volumen y escala, para diferenciar
entre grados de criticidad.

6 Informe de INTELIGENCIA DE VULNERABILIDADES


ANÁLISIS
Cómo contabilizar las vulnerabilidades y el Hay casos extremos en los que, por ejemplo, se asignó
atraso de la NVD una CVE a una vulnerabilidad en 2016, pero no se reveló
al público hasta 2018. Sin embargo, es más común que un
Muchos estudios basan la fecha de publicación de una CVE
proveedor asigne una CVE y publique una advertencia, pero
en la fecha de publicación en la Base de Datos Nacional de que haya un retraso hasta que la NVD la procese.
Vulnerabilidades (NVD)13. Por ejemplo, una vulnerabilidad
CVE-2017 que no se publicó en la NVD hasta 2018 se Nuestra metodología es contabilizar todas las
clasificaría como una vulnerabilidad 2018. vulnerabilidades de CVE-2017 en el conjunto de datos de
2017. A excepción de los casos extremos mencionados
El problema con esta metodología es el retraso notorio14 anteriormente, esto refleja, con mayor precisión, la
en las nuevas vulnerabilidades que se agrega a la NVD. cantidad de vulnerabilidades que los clientes realmente
Muchas vulnerabilidades se revelan públicamente en el año deben gestionar.
correspondiente a su identificador de CVE, no en la fecha
de publicación en la NVD. Por ejemplo, CVE-2017-1000391 En el gráfico que aparece a continuación (Figura 1), se
aparece en la NVD con una fecha de publicación del 25 de compara el conteo “oficial” de CVE anual desde 2010
enero de 2018,15, a pesar de que la advertencia se reveló el 8 con la realidad. El promedio anual de retraso es del 13 %,
de noviembre de 2017.16 aproximadamente.

NVD en comparación con la realidad


16000 40%

14000 35%

12000 30%

10000 25%

8000 20%

6000 15%

4000 10%

2000 5%

0 0%
Figura 1. CVE publicadas en la NVD frente a las
2010 2011 2012 2013 2014 2015 2016 2017
CVE reveladas públicamente en realidad

NVD Realidad % de CVE no informadas en su totalidad

Tendencias en la publicación de vulnerabilidades


En 2017, se revelaron 15.038 CVE, lo que representa un crecimiento del 53 % en comparación con 2016. El crecimiento interanual promedio
desde 2010 ha sido del 15 %. Y el aumento de las vulnerabilidades reveladas y las CVE publicadas continúa sin disminuir en 2018.

En el primer semestre de 2018, se publicaron 5314 CVE, en comparación con las 4189 en el primer semestre de 2017, lo que representa
un aumento del 27 %. Al ritmo actual, estamos encaminados a tener más de 18.000 a 19.000 vulnerabilidades nuevas para 2018.
Consulte el resumen en la Figura 2.
Crecimiento actual en el primer semestre
Crecimiento en 2017 frente al Proyección de CVE para 2018
CVE 2017 crecimiento de 2016
de 2018 en comparación con el
primer semestre de 2017

15.038 53 % 27 % 18K - 19K


Figura 2. Crecimiento de CVE publicadas entre 2010 y 2017, incluida la proyección para 2018

7 Informe de INTELIGENCIA DE VULNERABILIDADES


16000 CVE relevadas y explotabilidad 25 %

14000 Explotabilidad
20%
12000
Mientras tanto, se proyecta que la
10000
15%
proporción de CVE con un exploit disponible
8000 públicamente alcance el 8 % en 2018, lo que
6000 10% refleja un punto porcentual más que en 2017.
Conforme a las proyecciones actuales, se
4000
5% publicarán más de 1500 vulnerabilidades
2000 explotables en 2018, o un poco más de 28
0 0% vulnerabilidades explotables por semana.
2010 2011 2012 2013 2014 2015 2016 2017 2018

(A LA FECHA)
Total Exploit disponible % explotable

Figura 3. CVE totales en comparación con CVE explotables

Gravedad "Alta" y superior de nuevas CVE entre 2010 y 2018


Tendencias de la gravedad de las 16000 45%

vulnerabilidades 14000 40%

35%
Hay muy pocas calificaciones de CVSSv3 12000
30%
disponibles para vulnerabilidades antes de 2016; 10000
25 %
es por ello por lo que nuestros análisis históricos 8000
20%
se centran en CVSSv2. Lo que se destaca en el
6000
gráfico que aparece a la derecha (Figura 4) es 15%
4000
que, si bien hay un aumento correspondiente 10%

de vulnerabilidades de gravedad Alta (CVSSv2 7 2000 5%


y superior), en realidad, estas vulnerabilidades 0 0%
ha disminuido como proporción del total desde 2010 2011 2012 2013 2014 2015 2016 2017 2018

2017. En teoría, eso aún posiblemente deja más


CVE totales Gravedad alta % de Gravedad alta
de 3900 vulnerabilidades de gravedad Alta que
deben priorizarse. (Nota: Los datos de 2018 no
están completos y se basan en CVE reveladas Figura 4. CVE nuevas entre 2010 y 2018

hasta agosto de 2018).

En el caso de las vulnerabilidades más nuevas, podemos comparar directamente la distribución de CVSSv2 con la de CVSSv3. Algo
que se debe considerar es que CVSSv3 designa una gravedad Crítica para calificaciones de 9 a 10, mientras que CVSSv2 asigna a
cualquier calificación entre 7 y 10 una gravedad Alta.

Cuando comparamos la distribución de las gravedades de CVSSv3 entre el primer semestre de 2017 y el primer semestre de 2018,
vemos que las vulnerabilidades de gravedad crítica conformaban el 15 % de todas las vulnerabilidades reveladas, lo que arroja
un aumento del 12 % en el primer semestre de 2017. Si se mantiene la tendencia actual, veremos más de 900 vulnerabilidades de
gravedad Crítica para fines de 2018.

CRÍTICA BAJA CRÍTICA BAJA


12% 2% 15% 1%
Baja

2017 2018
Media

Alta

Crítica

ALTA MEDIA ALTA MEDIA


46% 40% 44% 40%
Figura 5. CVE conforme a la gravedad
calificada por CVSSv3 en el primer
semestre de 2017 en comparación
con el primer semestre de 2018

8 Informe de INTELIGENCIA DE VULNERABILIDADES


VERSIONES DE CVSS Y PRIORIZACIÓN
CVSSv3 se lanzó en junio de 2015 y tiene como objetivo medida independiente, no solo un factor de la medida de
reemplazar la CVSSv2. CVSSv3 incluyó varios cambios complejidad. Además, se agregó una gravedad crítica oficial
relacionados principalmente con el alcance. Por ejemplo, a las gravedades existentes, es decir, Baja, Media y Alta.
CVSSv3 no solo considera cómo afecta una vulnerabilidad
al componente vulnerable original, sino también si la En el caso de las vulnerabilidades anteriores a 2016, no
vulnerabilidad afecta a otros componentes del sistema (por hay una puntuación de CVSSv3 disponible, pero podemos
ejemplo, una vulnerabilidad en un servidor web también hacer comparaciones para las CVE más recientes. Cuando
podría afectar a los navegadores web conectados). Las comparamos la distribución de gravedad del CVSSv2 y del
secuencias de comandos entre sitio y las vulnerabilidades CVSSv3 para todas las CVE que tienen ambas calificaciones
de inyección de SQL son buenos ejemplos. disponibles, existe un cambio visible hacia la derecha
hacia una mayor gravedad. Muchas CVE consideradas de
Otro cambio es que el nivel de interacción del usuario que gravedad Media en virtud de CVSSv2 se reclasificaron como
se necesita para una explotación exitosa ahora es una Altas o Críticas conforme a CVSSv3 (vea la Figura 6).

NINGUNA
CVE en general: reclasificación de CVSSv2 a CVSSv3 0%
16000
ALTA BAJA
31% 10%
14000

12000 CVSSv2
10000
MEDIA
8000 59%

NINGUNA BAJA
6000 0% 2%

4000 CRÍTICA
16%
2000 MEDIA

CVSSv3
38%
0
Ninguna Baja Media Alta Crítica

ALTA
CVSSv2 CVSSv3 44%

Figura 6. CVE en general: CVSSv2 en comparación con la clasificación CVSSv3 Figura 7. CVE en general: distribuciones de
gravedad de CVSS

Entonces, ¿por qué somos testigos de este cambio? Un motivo es que, en virtud de CVSSv2, la evaluación de impacto se centra
en el impacto en el sistema operativo. Pero, en función de CVSSv3, el impacto considera el componente vulnerable y otros
componentes afectados, y evalúa cuál es el más grave. Otra modificación que probablemente provocó este cambio fue la
eliminación de la complejidad de ataque media, lo que genera que muchas vulnerabilidades se desplacen hacia una complejidad
de ataque baja.

El cambio de CVSSv2 a CVSSv3 tiene un impacto importante en la distribución de las gravedades de las CVE. Los dos sistemas
brindan clasificaciones opuestas, y CVSSv3 califica a la mayoría de las vulnerabilidades como Altas y Críticas (el 60 % en CVSSv3
en comparación con el 31 % en CVSSv2). CVSS es lamentablemente inadecuada como medida de priorización, ya que no tiene
suficiente granularidad y una perspectiva más amplia para diferenciar entre grados de criticidad.

9 Informe de INTELIGENCIA DE VULNERABILIDADES


Conocimientos adquiridos del campo


Para agregar perspectiva real a los datos, Tenable Research realizó Creo que hubo un aumento del 14 %
entrevistas con profesionales de la seguridad a nivel de gerente y analista
sobre la estrategia y la práctica de la gestión de vulnerabilidades. Los
en comparación con el año pasado.
conocimientos clave adquiridos de estas entrevistas se incluyen a lo largo Estamos hablando de aproximadamente
de este informe.
200.000 vulnerabilidades.

Debido a que los entrevistados ponen en práctica la gestión de vulnerabilidades a diario, no hablaron mucho sobre el volumen
de vulnerabilidades que enfrentan en la actualidad. Para ellos, la mitigación de las vulnerabilidades es un hecho.


La gestión de vulnerabilidades nunca termina. Es un viaje. Siempre será algo. Y si alguna vez deja de llevarla
a cabo, estará expuesto a niveles inimaginables de riesgo. Así que es... solo un proceso realmente [...] No
puede poner un proyecto a su alrededor. Es decir, puede hacer un proyecto de implementación, pero nunca
terminará con las vulnerabilidades. No puede ponerle una fecha de finalización.


En cambio, estos profesionales de la seguridad reflexionaron sobre el Los puntajes de CVSS serían útiles
trabajo necesario para segmentar y priorizar las vulnerabilidades de una
manera útil. Debido a la gran cantidad de vulnerabilidades reveladas y
si supone que todos los activos son
a la naturaleza de los puntajes de CVSS, la mayoría de los participantes iguales, pero no lo son. Por lo tanto,
elaboraron algún tipo de calificación personalizada para priorizar las
en realidad, no los usamos.
vulnerabilidades en los sistemas de sus organizaciones.


Por lo general, los participantes Después del año pasado, no hay mucho que pueda sorprenderme. Fue un año
se esforzaron por pensar
en tendencias nuevas de
difícil entre WannaCry, NotPetya, todo el ransomware y lo que sucedió. Por
vulnerabilidades para 2018. suerte, la mayor parte de este año ha sido bastante tranquila. 2017 siempre
Algunos incluso reflexionaron
será el año que tomaré como referencia para las comparaciones, al menos,
sobre que 2018 sería un año
relativamente estándar en por ahora. Estoy seguro de que vendrá otro año.
comparación con los anteriores.


Un entrevistado comentó Están buscando en áreas nuevas que nadie nunca evaluó. Están encontrando
que investigadores y
atacantes podrían estar
grandes cantidades de vulnerabilidades de larga data porque nadie nunca
“profundizando” la búsqueda había buscado en esos lugares. Specter y Meltdown son ejemplos de eso. Y creo
de vulnerabilidades.
que veremos cuestiones similares en el futuro [...] La gente se está quedando
sin secuencias de comandos entre sitios en donde buscar y está empezando a
analizar otros lugares.


Una tendencia de Creo que la minería de criptomonedas se está apoderando de las tendencias
vulnerabilidades que algunos
participantes señalaron
de ataque, y, en algunos casos, de manera rápida. Eso es lo que notamos a
fueron las operaciones de finales del año pasado. Y provenía de dos vectores. De forma sorpresiva, uno
minería de criptomonedas,
de los vectores era WebLogic [...] Históricamente, no era algo que ocupara un
específicamente aquellas que
explotan las vulnerabilidades lugar destacado en nuestra lista cuando realizábamos escaneos.
de Oracle WebLogic.

10 Informe de INTELIGENCIA DE VULNERABILIDADES


Principales vulnerabilidades
En realidad, una vulnerabilidad revelada es solo una descripción. Las CVE en sí mismas
son un buen ejemplo, ya que son un diccionario de nombres comunes (es decir,
identificadores de CVE) para las vulnerabilidades conocidas públicamente. A su vez,
la NVD es una base de datos que documenta los detalles reales relacionados con una
vulnerabilidad utilizando las CVE como identificadores únicos.

Si queremos hacer una analogía, los detalles de las CVE y la NVD son similares a
describir una nueva enfermedad. Indican cómo se llama la enfermedad, cómo se
evidencia, cómo infecta o “explota” a un huésped y sus síntomas. Sin embargo, no
informan sobre cuántas personas son potencialmente vulnerables o se ven afectada por
la enfermedad. Si bien el análisis de las tendencias generales sobre vulnerabilidades
nuevas e históricas es útil para comprender cómo evolucionan las vulnerabilidades en
sí mismas, usted debe buscar datos de telemetría reales para realmente entender qué
vulnerabilidades están presentes en los entornos empresariales y representan el mayor
y real riesgo.

Analizamos los datos de prevalencias de vulnerabilidades desde marzo hasta agosto


de 2018 en un conjunto de datos con más de 900.000 evaluaciones de vulnerabilidades
únicas llevadas a cabo por 2100 empresas individuales de 66 países para determinar las
vulnerabilidades más dominantes.

Para medir la prevalencia, observamos el pico más alto de empresas afectadas en un


día en particular (es decir, las empresas en las que se detectó la vulnerabilidad en
un escaneo de evaluación de vulnerabilidades [consulte el Anexo para obtener más
información]). También utilizamos el pico más alto de activos afectados en un día en
particular como medida secundaria.

11 Informe de INTELIGENCIA DE VULNERABILIDADES


PUNTOS IMPORTANTES

La población activa de vulnerabilidades que realmente reside en entornos empresariales representa el


23 % de todas las CVE posibles.

Casi dos tercios (el 61 %) de las vulnerabilidades que las empresas encuentran en sus entornos
tienen una gravedad Alta (CVSSv2 entre 7 y 10).

Las vulnerabilidades con un puntaje CVSSv2 de 9 a 10 representan el 12 % de toda la población de


vulnerabilidades. En promedio, una empresa encuentra 870 CVE por día en 960 activos.17 Esto significa
que las metodologías de priorización en función de la reparación de estas CVE Altas (o Críticas) aún dejan
a la empresa promedio con más de cien vulnerabilidades por día para priorizar por parche, a menudo,
en varios sistemas.

Observamos claramente una diferencia entre el riesgo local y el riesgo global:

• Algunos proveedores, como las distribuciones de Linux, como Red Hat, Oracle y Novell SUSE, ocupan
los primeros puestos en la cantidad de CVE distintas que circulan libremente, pero su impacto en
términos de organizaciones o activos afectados es bajo. Estos representan un riesgo local: alto e
importante para la organización afectada, pero no así indefectiblemente para la mayor parte de la
población mundial de Internet.

• Otros proveedores, como Microsoft (.NET y Office), Adobe (Flash) y Oracle (Java), tienen una cantidad
comparativamente baja de vulnerabilidades distintas, pero afectan a una gran cantidad de empresas
y activos. Estos representan un riesgo global, ya que afectan a una cantidad importante de empresas
y activos en todo el mundo.

Las vulnerabilidades de Microsoft y Adobe Flash son las más destacadas en las 20 principales
vulnerabilidades en función del porcentaje de empresas afectadas. (Consulte el Gráfico de las 20 principales
vulnerabilidades).

El 27 % de las empresas aún detectan servicios que utilizan las versiones inseguras SSLv2 y SSLv3.

12 Informe de INTELIGENCIA DE VULNERABILIDADES


ANÁLISIS
En total, hubo 24.625 CVE específicas con gravedad Baja a Alta en el conjunto de datos. En octubre de 2018, se han publicado 107.710
CVE, por lo que la población activa de vulnerabilidades en entornos empresariales representa el 23 % de todas las CVE posibles.

En el gráfico que aparece a continuación, se puede ver la distribución de la gravedad en todo el conjunto de datos (vea la
Figura 8). El gráfico muestra el recuento y las distribuciones de CVE únicas detectadas en los entornos empresariales desde
marzo hasta agosto de 2018.

Distintas CVE por proveedor y gravedad.

MEDIA
Cisco
36%
Apple

Apache Foundation

Google

Adobe
BAJA ALTA
Mozilla Firefox 3% 61%
IBM

Oracle Baja Media Alta


Fedora
Figura 8. Distribución de distintas CVE de todas las gravedades
Aplicaciones de Microsoft

Sistema operativo de Microsoft

Debian Linux

CentOS Linux

Novell SuSE Linux

Oracle Linux

Red Hat Enterprise Linux

0 500 1000 1500 2000 2500 3000

Factor de riesgo bajo Factor de riesgo medio Factor de riesgo alto

Figura 9. Distintas CVE por proveedor y todas las gravedades

La cantidad de CVE distintas detectadas en Red Hat Enterprise Linux es la más alta por mucho y las distribuciones de Linux
generalmente dominan los niveles superiores. A primera vista, esto puede indicar que Linux es, por lo general, menos seguro.
Pero debemos tener en cuenta que, en el caso de las distribuciones de Linux, se suman vulnerabilidades del sistema operativo
central y de aplicaciones de terceros. Si quisiéramos una visión comparable para Microsoft Windows, tendríamos que tener en
cuenta las aplicaciones de Microsoft y los grupos de sistema operativo de Microsoft en conjunto. También debemos pensar que
estos datos solo tienen en cuenta el recuento de distintas vulnerabilidades detectadas, no el recuento de activos o empresas
afectados.

También es notable que el 61 % de las CVE se calificaron con un CVSSv2 de gravedad Alta.

13 Informe de INTELIGENCIA DE VULNERABILIDADES


Distintas CVE por proveedor: Gravedad alta

Apache Foundation

Cisco

Apple

Google BAJA Y MEDIA ALTA


IBM
39% 61%

Adobe

Fedora
Baja y Media Alta
Oracle
Figura 10. Distribución de CVE por gravedad
Mozilla Firefox

Aplicaciones de Microsoft

Debian Linux

CentOS Linux

Sistema operativo de Microsoft

Novell SuSE Linux

Oracle Linux

Red Hat Enterprise Linux

0 200 400 600 800 1000 1200 1400

Figura 11. Distintas CVE de gravedad Alta por proveedor

Los análisis antes mencionados se centraron en el recuento de distintas CVE y su distribución por proveedor. Esto brinda algo
de información sobre la vulnerabilidad, y el perfil de riesgo resultante, de diferentes proveedores. También destaca cómo la
priorización puede ser más desafiante cuando se trata de algunas tecnologías en comparación con otras. Para ver cuánto riesgo
representa una CVE determinada en la población general de la empresa, debemos observar cuántas empresas se ven realmente
afectadas por esa CVE. El gráfico que aparece a continuación (vea la Figura 12) muestra la cantidad máxima de empresas y
activos afectados en un solo día de escaneo para los mismos proveedores mencionados arriba. Esto muestra con claridad que
un número alto de vulnerabilidades, (por ejemplo, en Red Hat p SUSE Linux) no necesariamente equivale a un número alto de
empresas o activos afectados.

Una cantidad elevada de distintas vulnerabilidades de gravedad Alta en uno o pocos activos representa un riesgo local alto. Una
cantidad baja de distintas vulnerabilidades de gravedad Alta en una gran número y variedad de activos representa un riesgo
global alto. Básicamente, esta es una medida de la densidad de la vulnerabilidad de activos frente a la prevalencia de una
vulnerabilidad en la empresa.

14 Informe de INTELIGENCIA DE VULNERABILIDADES


Distintas CVE por proveedor e impacto

280K CPE (Grupo


Aplicaciones de Microsoft
Adobe
260K Apache
Apple
Oracle
240K CentOS
Cisco
Recuento máx. de activos impactados en un día

Adobe Debian
220K
Fedora
Mozilla
200K
Google Google
Sistema operativo
de Microsoft HPE
180K
IBM
Aplicaci
160K
Sistema
Novell S
140K Oracle
Oracle L
120K Red Hat
Ubuntu
100K

80K

60K

40K Red Hat Enterprise Mozilla Firefox

IBM
20K
Ubuntu Linux Apple
CentOS Linux
0K Apache Foundation

0% 2% 4% 6% 8% 10% 12% 14% 16% 18% 20% 22% 24% 26% 28% 30% 32% 34%

% de empresas afectadas
% máximo dedeempresas
% máximo encomparación
empresas en comparaciónconcon el recuento
el recuento máx.
máx. de de activos
activos. El color promedio. El color
muestra detalles muestra
sobre detalles
CPE (grupo). sobreseCPE
Las marcas (grupo).
etiquetan porLas
CPEmarcas
(grupo) se etiquetan po

Cpe (Grupo)

Adobe Fedora Sistema operativo de Microsoft


Apache Foundation Mozilla Firefox Novell SuSE Linux
Apple Google Oracle
CentOS Linux HPE Oracle Linux
Cisco IBM Red Hat Enterprise
Debian Linux Aplicaciones de Microsoft Ubuntu Linux

Figura 12. Distintas CVE por proveedor e impacto

15 Informe de INTELIGENCIA DE VULNERABILIDADES


Las

PRINCIPALES VULNERABILIDADES
A continuación, detallamos las 20 principales vulnerabilidades que se encuentran en entornos empresariales.

Siempre que sea posible, brindamos una CVE para ayudar a identificar la vulnerabilidad. Nota: Debido a la forma en que las
vulnerabilidades y las CVE se agregan en los parches y las actualizaciones de proveedores, una única firma de vulnerabilidades
puede detectar varias vulnerabilidades, con diversas gravedades diferentes. Como la actualización aplica varios parches, los
activos afectados serán vulnerables a todos ellos si la actualización no se ha aplicado. Esto significa que algunas CVE, aunque
diferentes y con diferentes gravedades, comparten las mismas métricas de prevalencia. En estos casos, hemos seleccionado la
vulnerabilidad con la gravedad más alta. Si había varias vulnerabilidades que compartían la misma gravedad, seleccionamos una
vulnerabilidad representativa.

1
CVE CVE-2018-8202 GRUPO Aplicaciones de Microsoft
Existe una elevación de la vulnerabilidad de privilegios en .NET Framework que podría permitir
a un atacante elevar su nivel de privilegios (también se conoce como “.NET Framework Elevation
of Privilege Vulnerability” [Elevación de la vulnerabilidad de privilegios en .NET Framework]).
32 %

2
CVE CVE-2018-6153 GRUPO Google Chrome
Google Chrome es vulnerable a un desbordamiento del búfer de pilas (estructura de datos), causado
por la verificación de límites inadecuada llevada a cabo por Skia. Tras persuadir a una víctima para
que visite un sitio web diseñado especialmente, un atacante remoto podría desbordar un búfer y
30 %
ejecutar un código arbitrario en el sistema o provocar que la aplicación se bloquee.

3
CVE CVE-2015-6136 GRUPO Microsoft IE
Los motores Microsoft VBScript de Internet Explorer 8 a 11 y otros productos permiten a los
atacantes remotos ejecutar un código arbitrario a través de un sitio web diseñado
específicamente (también se conoce como “Scripting Engine Memory Corruption Vulnerability”
28 %
[Vulnerabilidad de corrupción de memoria en el motor de scripting]).

4
CVE CVE-2018-2938 GRUPO Oracle Java
Un usuario remoto puede aprovechar una falla en el componente Java SE Java DB para obtener
mayores privilegios. 28 %

5
CVE CVE-2018-1039 GRUPO Aplicaciones Microsoft
Existe una vulnerabilidad de evasión de la función de seguridad en .NET Framework que podría
permitir a un atacante eludir a Device Guard (también se conoce como “.NET Framework Device
Guard Security Feature Bypass Vulnerability” [Vulnerabilidad de evasión de la función de
28 %
seguridad Device Guard en .NET Framework]).

16 Informe de INTELIGENCIA DE VULNERABILIDADES


6
CVE NINGUNA GRUPO SSL
Detección de protocolo SSL versión 2 y 3. El servicio remoto acepta conexiones cifradas que utilizan SSL 2.0 o
SSL 3.0. Estas versiones de SSL se ven afectadas por varias fallas criptográficas, que incluyen un esquema de 27 %
rellenado inseguro con cifrados CBC y esquemas inseguros de renegociación y reanudación de sesión.

7
CVE CVE-2018-6130 GRUPO Google Chrome
Acceso de Google Chrome a la memoria fuera de límites en WebRTC.
26 %

8
CVE CVE-2018-8242 GRUPO Microsoft IE
Existe una vulnerabilidad de ejecución de código remoto en la forma en que el motor de
scripting maneja objetos en memoria en Internet Explorer (también se conoce como 26 %
“Scripting Engine Memory Corruption Vulnerability” [Vulnerabilidad de corrupción de
memoria en el motor de scripting]). Esto afecta a Internet Explorer 9 a 11.

9
CVE CVE-2017-8517 GRUPO Microsoft IE

25 %
Los navegadores de Microsoft permiten que un atacante ejecute un código arbitrario en el contexto
del usuario actual cuando no se pueden ejecutar los motores de JavaScript al manejar objetos en la
memoria de los navegadores de Microsoft (también se conoce como "Scripting Engine Memory
Corruption Vulnerability" [Vulnerabilidad de corrupción de memoria del motor de scripting]).

10
CVE CVE-2018-5007 GRUPO Adobe Flash
Adobe Flash Player 30.0.0.113 y versiones anteriores tienen una vulnerabilidad de
confusión de tipo. La explotación exitosa podría generar la ejecución de un código 25 %
arbitrario en el contexto del usuario actual.

11
CVE CVE-2018-8249, CVE-2018-0978 GRUPO Microsoft IE
Existe una vulnerabilidad de ejecución de código remoto cuando Internet Explorer accede, de
forma incorrecta, a objetos en la memoria (también se conoce como “Internet Explorer Memory 24 %
Corruption Vulnerability” [Vulnerabilidad de corrupción de memoria en Internet Explorer]).

12
CVE CVE-2018-8310 GRUPO Aplicaciones Microsoft

23 %
Existe una vulnerabilidad de manipulación indebida cuando Microsoft Outlook no maneja
correctamente los tipos de adjuntos específicos al mandar datos de correos electrónicos
HTML (también se conoce como “Microsoft Office Tampering Vulnerability” [Vulnerabilidad
de manipulación indebida de Microsoft Office]). Afecta a Microsoft Word, Microsoft Office.

13
CVE CVE-2018-5002 GRUPO Adobe Flash

23 %
Las versiones de Adobe Flash Player 29.0.0.171 y anteriores tienen una vulnerabilidad de
desbordamiento del búfer de pilas (estructura de datos). La explotación exitosa podría
generar la ejecución de un código arbitrario en el contexto del usuario actual.

17 Informe de INTELIGENCIA DE VULNERABILIDADES


14
CVE CVE-2018-8178 GRUPO Microsoft IE
Existe una vulnerabilidad de ejecución de código remoto en la forma en que los navegadores
de Microsoft acceden a objetos en la memoria (también se conoce como “Microsoft Browser 23 %
Memory Corruption Vulnerability” [Vulnerabilidad de corrupción de memoria en el navegador
de Microsoft]).

15
CVE CVE-2018-2814 GRUPO Oracle Java
Vulnerabilidad en el componente incorporado Java SE de Oracle Java SE (subcomponente:
HotSpot). Los ataques exitosos de esta vulnerabilidad pueden provocar la toma de control de 23 %
Java SE.

16
CVE CVE-2018-5008 GRUPO Adobe Flash
Adobe Flash Player 30.0.0.113 y versiones anteriores tienen una vulnerabilidad de lectura
fuera de límite. La explotación exitosa podría generar la revelación de información. 23 %

17
CVE CVE-2017-11215 GRUPO Adobe Flash
Se detectó un problema en Adobe Flash Player 27.0.0.183 y versiones anteriores. Esta vulnerabilidad es una
instancia de un uso después de una vulnerabilidad libre en Primetime SDK, que podría provocar corrupción del 22 %
código, un secuestro del flujo de control o un ataque que causaría la fuga de información. La explotación exitosa
podría generar la ejecución de un código arbitrario.

18
CVE NINGUNA GRUPO Mozilla Firefox
Según su versión, hay, al menos, una aplicación Mozilla sin soporte técnico (Firefox, Thunderbird o
SeaMonkey) instalada en el host remoto. Esta versión del software ya no cuenta con mantenimiento 22 %
activo. La falta de soporte supone que el proveedor no lanzará nuevos parches de seguridad para el
producto. En consecuencia, es probable que contenga vulnerabilidades de seguridad.

19
CVE CVE-2015-0008 GRUPO Microsoft OS
Una vulnerabilidad en la ruta de búsqueda no confiable en la biblioteca MFC en Microsoft Visual Studio .NET
permite a los usuarios locales obtener privilegios a través de un archivo troyano dwmapi.dll en el directorio de 22 %
trabajo actual durante la ejecución de una aplicación MFC como AtlTraceTool8.exe (también se conoce como
"ATL MFC Trace Tool").

20
CVE CVE-2018-4944 GRUPO Adobe Flash
Las versiones de Adobe Flash Player 29.0.0.140 y anteriores tienen una vulnerabilidad de
confusión de tipo explotable. La explotación exitosa podría generar la ejecución de un 22 %
código arbitrario en el contexto del usuario actual.

Figura 13. Gráfico de las 20 principales vulnerabilidades (el porcentaje se basa en las empresas afectadas)

18 Informe de INTELIGENCIA DE VULNERABILIDADES


CONCLUSIONES
Ya que el 61 % de todas las vulnerabilidades que las empresas detectan en sus entornos son de gravedad Alta, las
organizaciones de seguridad se enfrentan al desafío de determinar qué vulnerabilidades representan realmente un riesgo
y priorizar las más críticas para maximizar los recursos limitados de reparación. Cuando todo es urgente, la selección de
prioridades falla.

En promedio, una empresa encuentra 870 CVE en 960 activos por día.18 Esto significa que las metodologías de priorización en
función de la reparación de estas CVE de gravedad Alta aún dejan a la empresa promedio con más de 548 vulnerabilidades por
día para evaluar y priorizar, a menudo, en varios sistemas.

También fue interesante ver la diferencia entre el riesgo local y el riesgo global. Algunos proveedores, como las distribuciones
de Linux, como Red Hat, Oracle y Novell SUSE, ocupan los primeros puestos en la cantidad de CVE distintas presentes en una
empresa, pero su impacto en términos de cuántas organizaciones se ven afectadas es bajo. Estos representan un riesgo local:
alto para la organización afectada, pero no así indefectiblemente para la mayor parte de la población mundial de Internet. Por
supuesto, este riesgo sigue dependiendo de la función y del contexto precisos del activo.

También vimos que otros proveedores, como Microsoft (.NET y Office), Adobe (Flash) y Oracle (Java), tienen una cantidad
comparativamente baja de vulnerabilidades distintas, pero afectan a una gran cantidad de empresas y activos. Estos
representan un riesgo global, ya que afectan a una cantidad importante de empresas y activos en todo el mundo.


Conocimientos adquiridos del campo
Como mencionamos en la sección anterior, cada participante en la entrevista Si algún problema está abierto
tenía algún tipo de protocolo estándar para priorizar la reparación de
vulnerabilidades, por lo general, una combinación de puntaje CVSS y datos
durante más de 30 días, el personal
contextuales sobre activos y configuración. También analizaron los estándares comenzará a recibir llamadas
para las tareas de colocación de parches y reparación dentro de sus y mucha atención.
organizaciones. Todos tenían algún tipo de fecha límite inamovible para reparar
todas las vulnerabilidades, una cantidad máxima de tiempo en el que se debería
permitir que una vulnerabilidad subsista en un sistema sin que se la mitigue.


En el caso de las vulnerabilidades críticas, hacemos parches dentro de los 30 días. Si es una vulnerabilidad
Crítica que es muy explotable y esta abierta a Internet, el plazo es de siete días. Esto significa que si detecta
una vulnerabilidad Struts 2 u otra de las que acaban de publicarse, usted tiene que repararla de inmediato.
En el caso de una vulnerabilidad Alta, el plazo es de 60 días; en el caso de una vulnerabilidad Media, es de
90 días, y, en el caso de una vulnerabilidad Baja, es de 120 días.


Esto no necesariamente es congruente Si hay algo que no se resuelve en ese plazo, necesitamos que los
con nuestros datos que muestran
muchas vulnerabilidades antiguas
propietarios (el propietario del sistema, el propietario del producto,
que continúan existiendo en las redes, no necesariamente el propietario de la infraestructura) completen
algunas de las cuales se remontan
un formulario de excepción de riesgo que es un proceso muy
a más de una década y que todavía
se encuentran en las redes. Parte problemático porque tienen que justificarlo ante muchas personas
de esta discrepancia puede deberse que validan el motivo por el cual se requiere la excepción.
a excepciones internas también
mencionadas por varios entrevistados.


Para mí, es conocer lo desconocido. Siempre me pregunto: ¿hemos escaneado
y hemos tenido en cuenta todo?

19 Informe de INTELIGENCIA DE VULNERABILIDADES


VULNERABILIDADES DE NAVEGADORES WEB Y DE APLICACIONES
Decidimos profundizar en las vulnerabilidades de navegadores web y de aplicaciones. Los ataques del lado del cliente dirigidos
a este tipo de vulnerabilidades son muy importantes en el entorno de amenazas actual. Estas aplicaciones generalmente se
encuentran en clientes y estaciones de trabajo, a menudo, utilizadas por personal que no pertenece a la división de TI y suelen
ser móviles, remotas y distribuidas.

Además, la evaluación de estos tipos de vulnerabilidades exige un escaneo con agente o autenticado y con credenciales, ya que
esto requiere acceso al sistema local. Estos factores hacen que las vulnerabilidades de navegadores web y de aplicaciones sean
un área de enfoque intrigante.

PUNTOS IMPORTANTES

Las vulnerabilidades de gravedad Alta de Firefox dominan las 10 principales vulnerabilidades de


navegadores web, ya que representan el 53 % del total. Esto está fuera de proporción con su
participación en el mercado actual de poco más del 10 %. Un análisis más profundo muestra que
muchas de las vulnerabilidades de Firefox presentes en entornos empresariales datan de varios años.
Sin embargo, Firefox no se actualiza ni se elimina.

Oracle Java muestra un fenómeno similar, ya que se detectaron muchas vulnerabilidades concentradas
en los años 2011 a 2017. Las instalaciones de Java heredadas siguen siendo una causa principal de las
vulnerabilidades persistentes.

Las vulnerabilidades antiguas de Microsoft IE y Office también se destacan de manera importante.

Adobe Flash continúa esta tendencia, a pesar de que el contenido web activo de Flash ha disminuido
notablemente, y Adobe planea suspender el soporte en 2020.

Hay aplicaciones antiguas, discontinuadas y al final de su vida útil todavía disponibles en entornos
empresariales. Las aplicaciones heredadas son una fuente importante de riesgo residual.

20 Informe de INTELIGENCIA DE VULNERABILIDADES


VULNERABILIDADES DE NAVEGADORES WEB
Muchas amenazas actuales explotan las vulnerabilidades del lado del cliente y tienen a los navegadores web en su lista de
objetivos. Estos ataques generalmente funcionan mediante lo siguiente:

• La aplicación de ingeniería social para que el usuario navegue a un sitio web malicioso o abra un archivo o script malicioso
que luego explota el navegador web vulnerable.
• La vulneración de un sitio web legítimo para implementar contenido malicioso que explota el navegador web
vulnerable de la víctima.

Entre los límites fortalecidos y la creciente adopción de tecnologías en la nube, el ataque del usuario suele ser el punto
de entrada más eficaz a una empresa. En el caso de los usuarios domésticos, es la única forma. El robo de credenciales
financieras y de identidad, los botnets, la minería de criptomonedas, el ransomware, el espionaje y la extorsión cibernética
son todas actividades delictivas asociadas a estos tipos de ataques.

ANÁLISIS
Nuestro conjunto de datos incluyó 1065 CVE de navegadores web únicas en cinco proveedores principales detectadas desde
marzo hasta agosto de 2018.
Distribución de CVE Altas en comparación con CVE totales
• Apple Safari
• Google Chrome
• Microsoft Edge GRAVEDAD
GRAVEDAD ALTA
• Microsoft Internet Explorer (IE) BAJA Y MEDIA
63%
• Mozilla Firefox 37%

675 de las
1065 (el 63 %) Gravedad baja y media CVE de gravedad alta
CVE de navegadores web detectadas
tenían una gravedad Alta.

Figura 14. Distribución de CVE de gravedad Alta en comparación con CVE totales de todas las gravedades

Distintas CVE de navegadores web de gravedad alta

Mozilla Firefox

Google Chrome

Microsoft IE Mozilla Firefox tuvo la cantidad más


alta de CVE detectadas.
Apple Safari

Microsoft Edge

0 50 100 150 200 250 300 350 400

Figura 15. Recuento de CVE de navegadores web de gravedad Alta

21 Informe de INTELIGENCIA DE VULNERABILIDADES


Cuando observamos la distribución de CVE de gravedad Alta por navegador web, dominan las CVE de Firefox con el 53 % del total.
Chrome ocupa el segundo lugar con un 23 %.

CVE de gravedad Alta por navegador


Participa-
ción en el
mercado

62 % Gravedad
alta

53 %

Gravedad
alta

23 % Gravedad Participa- Participa-


alta ción en el ción en el
mercado mercado Participa-
14 % Gravedad Participa-
11,87 % 10,79 % Gravedad
ción en el alta ción en el
mercado mercado
alta
7 %
3 % 4,29 % 3,83 %

Google Chrome Microsoft IE Mozilla Firefox Microsoft Edge Apple Safari


Figura 16. Distribución de CVE de gravedad Alta por navegador web y participación en el mercado del navegador web (fuente: NetMarketShare, 2018)

Con solo el 10,79 % de participación en el mercado de su navegador, Firefox representa el 53 % de todas las vulnerabilidades
de gravedad Alta. Esta discrepancia se puede explicar parcialmente cuando examinamos los años de publicación de las CVE
detectadas. Aunque Firefox se ha visto reemplazado lentamente por Google Chrome como el navegador líder, parece que hay
muchas versiones más antiguas e inactivas circulando libremente. Las vulnerabilidades de Firefox no se reparan.

CVE de gravedad Crítica y Alta por navegador y año


Año de publicación

CPE (Grupo) 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
Apple Safari 4 4 4 4 4 4 4 5 4 4 2 6 6 7 4 3
Mozilla Firefox 32 5 6 7 8 12 32 19 19 34 32 40 51 40 37 18
5 5 5 5 5 5 5 18 21 19 5 15 28 21 16 10%
Google Chrome
4 12 1.
Microsoft Edge
1. 2 4 1. 8 6 6 6 8 8 14 12 12 12 9 6
Microsoft IE
Recuento único de CVE

1 51 Figura 17. CVE de navegadores web de gravedad Crítica y Alta predominantes por año de publicación

22 Informe de INTELIGENCIA DE VULNERABILIDADES


10
Las

PRINCIPALES VULNERABILIDADES
DE NAVEGADORES WEB

A continuación, detallamos las 10 principales vulnerabilidades de navegadores web para entornos empresariales.

1
CVE CVE-2018-6153 GRUPO Google Chrome
Google Chrome es vulnerable a un desbordamiento del búfer de pilas (estructura de datos), causado por
la verificación de límites inadecuada llevada a cabo por Skia. Tras persuadir a una víctima para que 30 %
visite un sitio web diseñado especialmente, un atacante remoto podría desbordar un búfer y ejecutar un
código arbitrario en el sistema o provocar que la aplicación se bloquee.

2
CVE CVE-2015-6136 GRUPO Microsoft IE
Los motores Microsoft VBScript de Internet Explorer 8 a 11 y otros productos permiten a los
atacantes remotos ejecutar un código arbitrario a través de un sitio web diseñado 28 %
específicamente (también se conoce como “Scripting Engine Memory Corruption
Vulnerability” [Vulnerabilidad de corrupción de memoria en el motor de scripting]).

3
CVE CVE-2018-6130 GRUPO Google Chrome
Acceso de Google Chrome a la memoria fuera de límites en WebRTC.
26 %

4
CVE CVE-2017-8517 GRUPO Microsoft IE
Los navegadores de Microsoft permiten que un atacante ejecute un código arbitrario en el contexto
del usuario actual cuando no se pueden ejecutar los motores de JavaScript al manejar objetos en la 25 %
memoria de los navegadores de Microsoft (también se conoce como "Scripting Engine Memory
Corruption Vulnerability" [Vulnerabilidad de corrupción de memoria del motor de scripting]).

5
CVE NINGUNA GRUPO Mozilla Firefox
Según su versión, hay, al menos, una aplicación Mozilla sin soporte técnico (Firefox, Thunderbird
o SeaMonkey) instalada en el host remoto. Esta versión del software ya no cuenta con
mantenimiento activo. La falta de soporte supone que el proveedor no lanzará nuevos parches 22 %
de seguridad para el producto. En consecuencia, es probable que contenga vulnerabilidades de
seguridad.

23 Informe de INTELIGENCIA DE VULNERABILIDADES


6
CVE CVE-2018-12359 GRUPO Mozilla Firefox
Se puede producir un desbordamiento del búfer al ejecutar el contenido del lienzo mientras se
ajusta dinámicamente la altura y el ancho del elemento <canvas>, lo que genera que los datos se 21 %
escriban fuera de los límites calculados actualmente. Esto genera un bloqueo que es probable que
se explote.

7
CVE CVE-2018-6085, CVE-2018-6086 GRUPO Google Chrome
Dos vulnerabilidades críticas de uso después de la liberación en memoria caché de disco de
Google Chrome en hosts de Windows. 20 %

8
CVE CVE-2018-5150, CVE-2018-5151, GRUPO Mozilla Firefox
CVE-2018-5154, CVE-2018-5155,
CVE-2018-5159
Varias vulnerabilidades de Mozilla Firefox, que incluyen corrupción de memoria y uso después
18 %
de liberarse, lo que permite la ejecución de código remoto.

9
CVE CVE-2018-5126, CVE-2018-5128 GRUPO Mozilla Firefox
Varias vulnerabilidades de Mozilla Firefox, que incluyen corrupción de memoria y permiten la
ejecución de código arbitrario y una vulnerabilidad de uso después de la liberación. 17 %

CVE CVE-2018-5148 GRUPO Mozilla Firefox


La versión de Mozilla Firefox Extended Support Release (ESR) instalada en el host remoto de
Windows es anterior a 59.0.2. Por lo tanto, se ve afectado por un error de uso después de la 16 %
liberación que causa una vulnerabilidad de denegación de servicio.

Figura 18. Las 10 principales vulnerabilidades de navegadores web (el porcentaje se basa en las empresas afectadas)

24 Informe de INTELIGENCIA DE VULNERABILIDADES


CONCLUSIONES
La participación en el mercado de los navegadores ha cambiado Conocimientos adquiridos del


notablemente en los últimos años. Los líderes del pasado, como Firefox
campo
e Internet Explorer, ahora están muy por detrás de Google Chrome.
Lamentablemente, las vulnerabilidades en estos navegadores no han
El motivo más común que he
seguido la misma disminución, ya que existen versiones sin soporte y
heredadas en un número considerable de empresas. Lo interesante es la observado es que se trata de
antigüedad de muchas de estas vulnerabilidades, ya que los actores de sistemas antiguos, que tienen
amenazas, especialmente los desarrolladores de kit del exploit, aún están
apuntando activamente a ellas. que estar disponibles o que
simplemente no se pueden retirar
Firefox domina la lista de CVE más predominantes, ya que representa
porque todavía tienen alguna
el 53 % de todas las vulnerabilidades de gravedad alta con solo una
participación en el mercado de aproximadamente el 10 %. La gran mayoría funcionalidad de producción
de estas CVE tienen entre dos y ocho años, con algunas pocas excepciones crítica.
que se remontan a 2004.

Aunque con una prevalencia más baja del 14 %, Microsoft IE aún evidencia
vulnerabilidades de manera desproporcionada respecto de su participación
en el mercado, e incluso, en empresas que solo utilizan Microsoft, está
siendo desplazado por Edge. Muchas de las vulnerabilidades de IE
detectadas entre marzo y agosto de 2018 también tienen mucha antigüedad,
y, en algunos casos, se remontan a la última década.

Las ocho principales CVE de navegadores web afectaron a más del 20 % de
las empresas en un solo día de evaluación, con un máximo del 30 %. Eso
representa una cantidad importante de organizaciones con vulnerabilidades
de navegadores web de gravedad Alta en su población de activos.

25
Informe de INTELIGENCIA DE VULNERABILIDADES
VULNERABILIDADES DE APLICACIONES
Las vulnerabilidades de aplicaciones representan otro conjunto de CVE activamente blanco de los actores de amenazas que
circulan libremente en diversos ataques, que van desde la ejecución por explotación y la piratería de criptomonedas hasta la
suplantación de identidad (phishing).

Estas vulnerabilidades mayoritariamente se encuentran en estaciones de trabajo de usuarios finales y de clientes. Debido a que
existe fuerza laboral muy distribuida y móvil que utiliza varias plataformas y sistemas operativos, mantener el control de su
evaluación y reparación de estas vulnerabilidades está plagado de muchos desafíos técnicos.

Debido a la inclusión común de las siguientes aplicaciones en los kits del exploit, ransomware, suplantación de identidad
(phishing) y otros ataques, observamos lo siguiente:

• Adobe Flash • Microsoft Office


• Adobe PDF • Oracle Java
• Microsoft .NET

En total, en las cinco aplicaciones, había 704 vulnerabilidades distintas presentes en los entornos empresariales.
Y 609 de las 704 CVE fueron de gravedad Alta.

MEDIA
13%

BAJA
0% Distintas CVE de aplicaciones por gravedad
ALTA
87%

Baja Media Alta


Microsoft .NET
Figura 19. CVE de aplicaciones por gravedad
Adobe PDF

CVE de aplicaciones por tipo de aplicación Adobe Flash

ADOBE FLASH Oracle Java


18%
ORACLE JAVA
29% Microsoft Office
ADOBE PDF
10%
0 50 100 150 200 250 300
MICROSOFT .NET
5%
Factor de riesgo alto Factor de riesgo medio

Figura 21. Distintas CVE de aplicaciones por gravedad


MICROSOFT OFFICE
38%

Figura 20. CVE de aplicaciones por tipo de aplicación


Cuando evaluamos todas las CVE detectadas El otro problema es que muchos sistemas críticos están
por las empresas, Microsoft Office se destaca
con una gran cantidad de CVE de gravedad
agrupados en un solo sistema. Aunque tiene 9 de 10 con parches,
Alta y el mayor recuento general en total. hay un servidor web que no puede manejar un nuevo parche de
Oracle Java viene en segundo lugar en general.
Java y todos están atascados.

26 Informe de INTELIGENCIA DE VULNERABILIDADES


Adobe Flash y PDF están, en realidad, en la mitad
20 principales CVE de aplicaciones de gravedad Críticas y Alta
inferior en términos de CVE distintas detectadas,
en general, en entornos empresariales.
ORACLE JAVA
15%
Cuando las reducimos a las 20 principales
vulnerabilidades de las aplicaciones que afectan
a la mayoría de las empresas, vemos que el 50 %
son Adobe Flash. Una vez más, vemos que la MICROSOFT OFFICE ADOBE FLASH
cantidad de CVE no necesariamente se traduce 20% 50%
también en un gran número de activos afectados.
Por ejemplo, es de destacar que Adobe PDF
no se encuentre entre las 20 principales. Sin MICROSOFT .NET
embargo, Microsoft Office parece contradecir 15%
esta tendencia, al quedar en segundo lugar en
las 20 principales con un 20 %, lo que representa
el recuento más alto de CVE en general.
Figura 22. Distribución de aplicaciones por vulnerabilidades de aplicaciones

Cuando agregamos el año de publicación de la vulnerabilidad en el mapa de calor que aparece a continuación, podemos ver
claramente que muchas CVE de Oracle Java tienen varios años de antigüedad, con concentraciones en 2013, 2015 y 2017. Esto
se parece mucho al fenómeno que vimos en el caso de Firefox en el desglose de vulnerabilidades de navegadores web con
versiones heredadas que no se han actualizado ni eliminado.

Mapa de calor de distintas CVE por fecha de publicación


Fecha de publicación

CPE (Grupo) 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
Adobe Flash 2 4 1. 3 3 2 3 5 12 15 13 16 21 12 12 7
Adobe PDF 32 5 6 4 3 3 11 8 11 5 6 7 3 8 4 3
Microsoft .NET 5 5 5 5 1. 5 5 4 3 5 7 6 6 7
Microsoft Office 1. 2 3 14 10% 20 12 33 18 16 23 16 26 25 34 24
Oracle Java 1. 1. 1. 9 9 6 7 14 12 66 20 32 26 35 12

Recuento distintivo de CVE

1 66 Figura 23. Mapa de calor: vulnerabilidades en entornos empresariales por fecha de publicación

Las aplicaciones de Microsoft Office también muestran una gran cantidad de CVE más antiguas detectadas. Parece haber,
al menos, una correlación superficial con las versiones de Microsoft Office,19, con concentraciones en 2006, 2010 y 2013, y un
aumento visible en las vulnerabilidades a partir de 2016.

Lo que es preocupante es que todavía existe una cantidad considerable de vulnerabilidades en los entornos que se
remontan a 2006.

27 Informe de INTELIGENCIA DE VULNERABILIDADES


El desglose que aparece a continuación (vea la Figura 24) brinda una descripción general de la cantidad total de distintas
vulnerabilidades de aplicaciones que afectaron los entornos empresariales. En el caso de la mayoría de las aplicaciones, la
proporción de vulnerabilidades de gravedad Alta en comparación con la gravedad informacional y Baja y Media es más del 80 %.
Por ejemplo, el 82 % de CVE de Oracle Java se califican como Altas.

Las metodologías de priorización más comunes fallarán en esa proporción. En realidad, la solución aquí no es realizar un
parchado. Por el contrario, se trata de eliminar versiones no compatibles y heredadas.

TOTAL TOTAL TOTAL TOTAL TOTAL


273 211 125 69 37
Microsoft Office

Microsoft .NET
Adobe Flash
Oracle Java

Adobe PDF
ALTA ALTA ALTA ALTA ALTA
242 172 116 65 21
% ALTA % ALTA % ALTA % ALTA % ALTA
89% 82% 93% 94% 57%

Figura 24. CVE de aplicaciones distintas en los entornos empresariales

Al factorizar las empresas y los activos que realmente se ven afectados por las 10 principales vulnerabilidades de aplicaciones
más predominantes, en realidad, observamos que Microsoft .NET, Oracle Java y Adobe Flash son objeto del impacto más generalizado
(vea la Figura 25).

Impacto de prevalencia por tipo de aplicación

280K Factor de riesgo

Microsoft .NET
Crítica
260K Alta
Oracle Java
240K

Adobe Flash
220K
Recuento máx. de activos promedio

200K

180K

160K

Microsoft Office
140K Microsoft .NET

120K
% de empresas en comparación con el
Adobe Flash recuento máximo de activos promedio.
100K El color, el tamaño y la forma muestran
Adobe PDF detalles sobre el factor de riesgo. Las
80K marcas se etiquetan por CPE (grupo)
El contexto se filtra en CPE (grupo),
Adobe PDF que mantiene Adobe Flash, Adobe
60K
PDF, Microsoft. NET, Microsoft Office
y Oracle Java. La vista se filtra por
40K el factor de riesgo, que conserva las
Microsoft Office vulnerabilidades de gravedad Crítica
20K y Alta.

0K
Figura 25. Impacto de prevalencia por
0% 2% 4% 6% 8% 10% 12% 14% 16% 18% 20% 22% 24% 26% 28% 30% 32% 34% tipo de aplicación

% de empresas

28 Informe de INTELIGENCIA DE VULNERABILIDADES


VULNERABILIDADES DE APLICACIONES Y EXPLOTABILIDAD
La correlación entre nuestros datos de prevalencia y la inteligencia para detectar vulnerabilidades sobre la explotabilidad, (vea
la Figura 26) arroja una imagen mucho más alarmante. Hay exploits públicos disponibles para la cantidad increíble del 79 % de las
actualizaciones de seguridad que abordan las vulnerabilidades de Adobe Flash de gravedad Alta detectadas como faltantes por las
empresas en sus entornos. En el caso de Adobe PDF, la cifra es del 96 %. El porcentaje más bajo en el grupo es del 41 %.

Exploits disponibles
FALSO FALSO FALSO FALSO FALSO
21% 6% 59% 38% 53%
VERDADERO VERDADERO VERDADERO VERDADERO VERDADERO
79% 94% 41% 62% 47%

Adobe Flash Adobe PDF Microsoft .NET Microsoft Office Oracle Java
Exploit disponible Exploit disponible Exploit disponible Exploit disponible Exploit disponible

Figura 26. Actualizaciones de seguridad de aplicaciones y disponibilidad de exploits públicos.

Como se muestra en el gráfico que aparece a continuación (Figura 27), existen exploits públicos disponibles para casi todas las
actualizaciones de seguridad de Adobe Flash que las empresas detectan como faltantes en sus entornos. Si tenemos en cuenta
que el contenido habilitado para Flash en Internet ha disminuido considerablemente20 y ya no tendrá soporte a partir de 2020, casi
no vale la pena tener Flash instalado. Sin embargo, representa un enorme riesgo residual.

Gravedad distinta y crítica, y explotabilidad de Adobe Flash

25

20

15

10%

0
2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018

Malware incluido Exploit Total

Figura 27. Actualizaciones de seguridad y disponibilidad de exploits de Adobe Flash

29 Informe de INTELIGENCIA DE VULNERABILIDADES


10 %
Las

PRINCIPALES VULNERABILIDADES
DE APLICACIONES
A continuación, detallamos las 10 principales vulnerabilidades de aplicaciones para entornos empresariales.

1
CVE CVE-2018-8284 GRUPO Microsoft .NET
Existe una vulnerabilidad de ejecución de código remoto cuando Microsoft .NET Framework no
puede validar la entrada correctamente (también se conoce como “.NET Framework Remote
32 %
Code Injection Vulnerability” [Vulnerabilidad de inyección de código remoto en .NET
Framework]).

2
CVE CVE-2018-2938 GRUPO Oracle Java
Vulnerabilidad en el componente incorporado Java SE de Oracle Java SE (subcomponente:
Java DB). Si bien la vulnerabilidad se encuentra en Java SE, los ataques pueden afectar en 28 %
gran medida a otros productos. Los ataques exitosos de esta vulnerabilidad pueden
provocar la toma de control de Java SE.

3
CVE CVE-2018-1039 GRUPO Microsoft .NET
Existe una vulnerabilidad de evasión de la función de seguridad en .NET Framework que
podría permitir a un atacante eludir a Device Guard (también se conoce como “.NET 28 %
Framework Device Guard Security Feature Bypass Vulnerability” [Vulnerabilidad de evasión de
la función de seguridad Device Guard en .NET Framework]).

4
CVE CVE-2018-5002 GRUPO Adobe Flash
Las versiones de Adobe Flash Player 29.0.0.171 y anteriores tienen una vulnerabilidad de
desbordamiento del búfer de pilas (estructura de datos). La explotación exitosa podría
23 %
generar la ejecución de un código arbitrario en el contexto del usuario actual.

5
CVE CVE-2018-5007 GRUPO Adobe Flash
Adobe Flash Player 30.0.0.113 y versiones anteriores tienen una vulnerabilidad de Confusión
de tipo. La explotación exitosa podría generar la ejecución de un código arbitrario en el
23 %
contexto del usuario actual.

30 Informe de INTELIGENCIA DE VULNERABILIDADES


6
CVE CVE-2018-4944 GRUPO Adobe Flash
Las versiones de Adobe Flash Player 29.0.0.140 y anteriores tienen una vulnerabilidad de
confusión de tipo explotable. La explotación exitosa podría generar la ejecución de un código 22 %
arbitrario en el contexto del usuario actual.

7
CVE CVE-2018-8248 GRUPO Microsoft Office
Existe una vulnerabilidad de ejecución de código remoto en el software de Microsoft Excel cuando no puede
manejar adecuadamente los objetos en la memoria. Un atacante que aprovechó con éxito la vulnerabilidad 21 %
podría ejecutar un código arbitrario en el contexto del usuario actual. Si el usuario actual inició sesión con
derechos de usuario administrativo, un atacante podría tomar el control del sistema afectado.

8
CVE CVE-2018-8147, CVE-2018-8148, GRUPO Microsoft Office
CVE-2018-8157, CVE-2018-8158,
CVE-2018-8161
Existe una vulnerabilidad de ejecución de código remoto en el software de Microsoft Office cuando no
20 %
puede manejar adecuadamente los objetos en la memoria (también se conoce como “Microsoft Office
Remote Code Execution Vulnerability” [Vulnerabilidad de ejecución de código remoto de Microsoft Office]).

9
CVE CVE-2018-4935, CVE-2018-4937 GRUPO Adobe Flash
Adobe Flash Player 29.0.0.113 y versiones anteriores tienen una vulnerabilidad de escritura
fuera de límite explotable. La explotación exitosa podría generar la ejecución de un código
20 %
arbitrario en el contexto del usuario actual.

10
CVE CVE-2018-4919, CVE-2018-4920 GRUPO Adobe Flash
Las versiones de Adobe Flash Player 28.0.0.161 y anteriores tienen una vulnerabilidad de uso
después de liberación y confusión de tipo explotables. La explotación exitosa podría generar la 19 %
ejecución de un código arbitrario en el contexto del usuario actual.

Figura 28. Las 10 principales vulnerabilidades de aplicaciones (el porcentaje se basa en las empresas afectadas)

CONCLUSIONES
Identificamos muchas CVE de Oracle Java que tienen varios años de antigüedad, con concentraciones en 2013, 2015 y 2017. Esto se
parece mucho al fenómeno que vimos en el caso de Firefox en el desglose de vulnerabilidades de navegadores web con versiones
heredadas que no se han actualizado ni eliminado.

Las aplicaciones de Microsoft Office también muestran una gran cantidad de CVE más antiguas detectadas. Parece haber, al
menos, una correlación superficial con las versiones de Microsoft Office, 21 con concentraciones en 2006, 2010 y 2013, y un aumento
visible en las vulnerabilidades a partir de 2016. Lo que es preocupante es que todavía existe una cantidad considerable de
vulnerabilidades en los entornos que se remontan a 2006.

Hay exploits públicos disponibles para el 79 % de las vulnerabilidades de Adobe Flash detectadas en entornos empresariales. En el
caso de Adobe PDF, la cifra es del 96 %. El porcentaje más bajo en el grupo es del 41 %. Existen exploits públicos disponibles para
casi todas las vulnerabilidades de Adobe Flash que las empresas detectan en sus entornos. Si tenemos en cuenta que el contenido
habilitado para Flash en Internet ha disminuido considerablemente22 y ya no tendrá soporte a partir de 2020, casi no vale la pena
tener Flash instalado. Sin embargo, representa un enorme riesgo residual.

31 Informe de INTELIGENCIA DE VULNERABILIDADES


Vulnerabilidades de alto perfil
A principios de este año, Tenable Research lanzó su equipo de
Respuesta de seguridad, que brinda alertas de respuesta rápida
y confecciona informes de incidentes y eventos relacionados con
la ciberseguridad en desarrollo y actuales, especialmente aquellos
relacionados con las vulnerabilidades. Desde su formación, el equipo
ha iniciado respuestas a 40 incidentes de alto perfil. Estos representan
incidentes importantes, como se definen en una escala de calificación
que considera la gravedad, el impacto y la prevalencia de una
vulnerabilidad. También consideramos si existe una vulnerabilidad en
una tecnología clave para una industria específica, incluso si no está
muy distribuida.

32
Informe de INTELIGENCIA DE VULNERABILIDADES
CRONOLOGÍA DE VULNERABILIDADES
A continuación, se muestra una descripción general de los aspectos más destacados hasta agosto de 2018. Puede encontrar los
informes detallados de cada uno de ellos en el Blog de Tenable.

2018RESPUESTAS DE SEGURIDAD
Exploit del día cero del
28 DE AGOSTO
programador de tareas de Windows
Vulnerabilidad de Apache Struts
Circula libremente: se insta a tener cuidado
Una nueva vulnerabilidad en Apache Struts podría
Activado por un tuit de un investigador descontento; permitir la ejecución remota de código
este error de escalación de privilegios fue explotado de
forma rápida mientras circulaba libremente y fue El 22 de agosto, escribimos en el blog sobre otra RCE
aprovechado por malware. Lamentablemente Microsoft remota en Struts. Struts es muy común, es muy difícil
tardó más de dos semanas en solucionar este problema. colocar un parche contra él y ha sido una fuente
22 DE AGOSTO periódica de filtraciones de datos de alto perfil y
artículos noticiosos. Lamentablemente no hay atajos
para la seguridad aquí; ¡el saber qué tiene (exposición
cero) y la colocación de parches disciplinada (Mejores
prácticas) son fundamentales!
Adquisición de la base de datos 15 DE AGOSTO
Oracle JavaJM (base de datos)
Adquisición de base de datos de Oracle
mediante el componente JavaVM

14 DE AGOSTO
Foreshadow (CPU)
Nuevas vulnerabilidades de canal del
lado de ejecución especulativa de Intel

14 DE AGOSTO
Faxsploit (dispositivo)
Ejecución de código remoto a través de
protocolos de fax de HP

31 DE JULIO
Underminer (Malware)
Minería de criptomonedas a través
del nuevo vector EK
Cisco ASA (Cisco)
Cisco ASA/FXOS/NX-OS solucionado con parche 26 DE JUNIO
crítico: ya estaba siendo explotado

El 6 de junio, Cisco lanzó 34 parches, incluidos cinco


calificados como críticos. Se observó la explotación
CVE-2018-0301 circulando libremente dos semanas
después de la publicación de la advertencia. Cisco fue 13 DE JUNIO
nuestra fuente más importante de respuestas de Falla de validación del código de Apple (Apple)
seguridad crítica a comienzos del 2018. Validación inadecuada de herramientas
de terceros en la plataforma Apple

8 DE JUNIO

Cisco ACS (Cisco)


RCE en Cisco Secure ACS

7 DE JUNIO
Falla de Adobe Flash Player (Adobe)
Día cero de Adobe Flash objeto de exploitación
en el Medio Oriente

6 DE JUNIO
Zip Slip (Aplicaciones de Window)
Escritura de archivo
arbitrario con Zip Slip

22 DE MAYO
Variantes de Spectre/Meltdown (CPU)
Spectre/Meltdown II

33 Informe de INTELIGENCIA DE VULNERABILIDADES


17 DE MAYO
Inyección de DHCP en Red Hat (Protocolo)
Dynoroot permite una raíz remota a
través de la inyección de DHCP en
derivados de Red Hat
14 DE MAYO
Efail (Protocolo)
Descifrado de correos electrónicos cifrados
de PGP a través de clientes de correo

11 DE MAYO
Vulnerabilidad POP SS/MOV SS (CPU)
Malos entendidos entre
desarrolladores generaron una
vulnerabilidad local de Intel
9 DE MAYO Locura del mes de mayo de Microsoft
(martes de parchado) (Microsoft)
Martes de parchado en el mes de mayo
de 2018 para vulnerabilidades explotadas
Deserialización de 1 DE MAYO
Oracle WebLogic T3 (Oracle)
Error de deserialización de Oracle
WebLogic T3 con parchado incorrecto
27 DE ABRIL
IE Double Kill (Microsoft)
Error Double Kill en Internet Explorer

Dispositivos de infraestructura 17 DE ABRIL


de red (Dispositivos)
Ataque de dispositivos de red por parte de
piratas patrocinados por el estado ruso
11 DE ABRIL
Cisco Smart Install (Cisco)
Función Cisco Smart Install objeto
de abuso circulando libremente

6 DE ABRIL
RCE de Windows Defender (Microsoft)
El proyecto Cero de Google detecta
vulnerabilidad en Windows Defender

3 DE ABRIL
Cisco IOS POC (Cisco)
Embedi detectó vulnerabilidad
en Cisco Smart Install

29 DE MARZO
Núcleo crítico de Drupal (aplicación de Internet)
RCE no autenticado de Drupal a través de
solicitud de HTTP

28 DE MARZO
Sam Sam Ransomware (Malware)
Descripción general y actualización de Sam Sam Ransomware

El 28 de marzo, Tenable inició una Respuesta de seguridad


19 DE MARZO mediante el blog y la protección de complementos para esta
Slingshot Malware (Malware) amenaza única y muy difundida. SamSam ha llevado el
Slingshot Malware usa dispositivo ransomware a niveles completamente nuevos utilizando
IoT en ataques específicos herramientas sofisticadas y ataques específicos, y muestra
cómo los atacantes con experiencia y determinación en
combinación con prácticas de seguridad deficientes pueden
CANTIDAD DE EXPLOITS EMPRESARIALES representar un error muy costoso.

Cisco: 4 Problemas de protocolo: 4


Microsoft: 4 Oracle: 2
Errores en CPU: 3 Adobe: 1
Malware: 3 Aplicaciones de Windows: 1
IoT: 2 Aplicaciones en Internet: 1

Figura 29. Respuestas de seguridad: 2018

34 Informe de INTELIGENCIA DE VULNERABILIDADES


Conocimientos adquiridos del campo
Las vulnerabilidades fueron la gran noticia en 2018. Casi al inicio del año, Meltdown y Spectre causaron mucha confusión
e interrupciones en enero.


Al principio, hubo mucho pánico y, luego, empezamos a evaluarlas, al igual que la forma de mitigarlas,
y había mucha confusión. Pasamos mucho tiempo, tuvimos muchas sesiones en grupos pequeños
para abordar el tema de Meltdown y Specter, solo para identificar cuáles eran, en realidad, los
riesgos. Durante un tiempo, ni siquiera se encontró evidencia de código de concepto. [...] En términos
de ejecución de código remoto, no habíamos visto ninguna opción viable todavía. Así que seguimos
aplicando rápidamente actualizaciones de BIOS durante un tiempo.


Los profesionales de la seguridad indicaron Escuchan algo en las noticias y piensan: “Ahora me harán
que esta no era la primera o la última vez
que las vulnerabilidades o los incidentes
preguntas en cuanto llegue y no quiero parecer un idiota
que llegaban a los titulares de las noticias porque la división de ciberseguridad está a mi cargo. Así que
los obligaban a ajustar sus programas de
tengo que demostrar que estoy al tanto de las cosas”. Y, a
gestión de vulnerabilidades. Vincularon
estos ajustes a algunas prioridades menudo, no les importa realmente cuál es el problema de
diferentes. En algunos casos, se trataba de seguridad, se reduce a cómo los afecta directamente.
garantizar que el CISO o el CIO estuvieran
preparados para responder las preguntas
de otros ejecutivos, clientes y los medios
de comunicación.

En otros casos, se trataba de garantizar que la organización no se viera sorprendida por un atacante debido al
aprovechamiento de una vulnerabilidad conocida.


Cuando aparece algo como Struts 2, tenemos iniciativas empresariales donde nos comunicamos con
todas las unidades de negocios que tienen diferentes recursos, diferentes tecnologías; lo cual hace que
uno se pregunte: “¿Somos susceptibles a esta vulnerabilidad en toda la empresa?”. Debido al tamaño, por
ejemplo, de la nuestra, su descubrimiento es algo para lo cual se necesitan muchos recursos, a menos
que se cuente con un programa implementado que pueda manejar todo esto.

35 Informe de INTELIGENCIA DE VULNERABILIDADES


Contribuyentes
INVESTIGACIÓN PRINCIPAL
Paul Davis, Vulnerabilidades de Alto Perfil
Oliver Rochford, Diseño de la Investigación y Análisis de Datos
Lucas Tamagna-Darr, Datos de Tendencias de CVE y CVSS
Claire Tills, Investigación Cualitativa
Andrew Tracey, Ciencia de los Datos

EXPERTOS EN LA MATERIA
Anthony Bettini, Director Sénior de Ingeniería
Rajiv Motwani, Director de Investigación, Detección de Vulnerabilidades
Thomas Parsons, Director Sénior de Gerencia de Productos

36 Informe de INTELIGENCIA DE VULNERABILIDADES


Anexo
CALIFICACIONES DE GRAVEDAD DE CVSS
A lo largo del documento, hacemos referencia a “gravedad” y “calificación de gravedad”. La siguiente tabla traduce las gravedades
descriptivas en calificaciones numéricas de CVSS. Oficialmente, CVSSv2 no reconoce una calificación de gravedad Crítica.

Calificaciones CVSS v2.0 Calificaciones CVSS v3.0


Gravedad Rango de puntuaciones básicas Gravedad Rango de puntuaciones básicas

Baja 0 - 3,9 Ninguna 0

Media 4 - 6,9 Baja 0,1 - 3,9

Alta 7 - 10 Media 4 - 6,9

Alta 7 - 8,9

Crítica 9 - 10

AÑOS DE REVELACIÓN DE CVE


Si bien se publicaron 15.038 CVE con el identificador CVE-2017-XXXX, algunas de ellas se publicaron en 2018. Lo que significa que, en
realidad, se publicaron 10.959 CVE en 2017. Esto brinda una idea del retraso actual en materia de CVE.

37 Informe de INTELIGENCIA DE VULNERABILIDADES


Metodología
CONJUNTO DE DATOS
El conjunto de datos se compone de datos de prevalencia de vulnerabilidades:

• Para un período de marzo a agosto de 2018 • De 2100 empresas individuales


• Que contiene más de 900.000 evaluaciones de • De 66 países
vulnerabilidades

Empleamos este conjunto de datos para determinar las vulnerabilidades más predominantes.

PREVALENCIA
Calculamos la “prevalencia” en función del número máximo de empresas afectadas en un día de escaneo específico. Seleccionamos
empresas afectadas, en lugar de la cantidad de activos afectados porque queríamos una medida que nos permitiera determinar
cuántas organizaciones tenían que enfrentar una vulnerabilidad. Basar la prevalencia en el recuento de activos afectados
implicaría que inevitablemente algunas tecnologías (por ejemplo, los dispositivos de red o los servidores) no formen parte de la
lista principal. La mayoría de las empresas tienen miles de estaciones de trabajo con Windows, pero solo docenas o cientos de
servidores. Pero casi todas las empresas tienen servidores y estaciones de trabajo en general.

Utilizamos el recuento más elevado en un día de empresas afectadas para obtener una indicación clara de la escala y eliminar la
necesidad de explicar anomalías cuando se trabaja con promedios y vulnerabilidades de diferentes antigüedades.

En el caso de la proporción de empresas afectadas, tenemos un recuento total de empresas (N) de 2100.

CVE EN COMPARACIÓN CON VULNERABILIDADES


En rigor, las vulnerabilidades no son CVE. Una sola vulnerabilidad puede recibir varias CVE. Por ejemplo, existen CVE
únicas para la misma vulnerabilidad en varios sistemas operativos (por ejemplo, Firefox en Windows, Red Hat Linux o
SUSE Linux). Decidimos contabilizar cada CVE como una vulnerabilidad distinta. Desde un punto de vista empresarial, son
vulnerabilidades diferentes, ya que necesitan diversos parches o pasos de reparación.

Utilizamos datos de telemetría anónimos recopilados de nuestra plataforma Tenable.io® conforme a nuestro acuerdo de
licencia de usuario final (EULA) para investigar tendencias y temas básicos para la ciberseguridad. En nuestra investigación
e informes relacionados, no utilizamos datos de telemetría de otros productos de Tenable, como Nessus® o Tenable.sc™
(anteriormente SecurityCenter).

METODOLOGÍA DE ENTREVISTA
Para agregar una perspectiva real a estos datos, también realizamos 12 entrevistas con profesionales de la seguridad
tanto a nivel de gerente como de analista. Estas conversaciones que duraron una hora se centraron en la estrategia y en la
práctica de la gestión de vulnerabilidades para comprender mejor cómo se elaboraron, en realidad, determinadas “mejores
prácticas”. Las preguntas se centraron en los indicadores clave de rendimiento para la gestión de vulnerabilidades, como la
frecuencia de escaneo y el tiempo de reparación, así como preguntas estratégicas de alto nivel sobre cómo funcionan los
equipos de seguridad dentro de organizaciones complejas. Las entrevistas se analizaron mediante codificación descriptiva
y de patrones. Las categorías iniciales se basaron en temas para el informe.

38 Informe de INTELIGENCIA DE VULNERABILIDADES


Notas finales
1. MITRE Corporation lleva a cabo el mantenimiento de CVE
2. https://cve.mitre.org/
3. Ver el Anexo
4. C
 onforme a Tenable Intelligence
5. Investigación principal, Inteligencia de Vulnerabilidades de Tenable
6. https://es-la.tenable.com/blog/the-equifax-breach-a-cyber-wtf-moment
7. h
 ttps://es-la.tenable.com/blog/wannacry-three-actions-you-can-take-right-now-to-prevent-ransomware
8. “State of Security Response”, (Estado de la Respuesta de Seguridad) Ponemon/ServiceNow, 2018
9. https://es-la.tenable.com/blog/quantifying-the-attacker-s-first-mover-advantage
10. h
 ttps://es-la.tenable.com/blog/how-mature-are-your-cyber-defender-strategies
11. “State of Security Response” (Estado de la Respuesta de Seguridad), Ponemon/ServiceNow, 2018
12. https://www.csoonline.com/article/3300753/security/congress-pushes-mitre-to-fix-cve-program-suggests-regular-reviews-and-
stable-funding.html
13. https://nvd.nist.gov/
14. Ejemplo de un estudio académico sobre este tema: https://www.sciencedirect.com/science/article/pii/S2210832717302995
15. https://nvd.nist.gov/vuln/detail/CVE-2017-1000391
16. https://jenkins.io/security/advisory/2017-11-08
17. Conforme a Tenable Intelligence
18. Conforme a Tenable Intelligence
19. https://en.wikipedia.org/wiki/History_of_Microsoft_Office
20. h
 ttps://www.bleepingcomputer.com/news/security/google-chrome-flash-usage-declines-from-80-percent-in-14-to-under-8-
percent-today/
21. https://en.wikipedia.org/wiki/History_of_Microsoft_Office
22. h
 ttps://www.theregister.co.uk/2017/07/25/flash_nahuh_internets_screen_door_gone_for_good_by_2020

39 Informe de INTELIGENCIA DE VULNERABILIDADES


INVESTIGACIÓN

7021 Columbia Gateway Drive


Suite 500
Columbia, MD 21046

Norteamérica +1 (410) 872-0555

es-la.tenable.com

11/18  V01

COPYRIGHT 2018 TENABLE, INC. TODOS LOS DERECHOS RESERVADOS. TENABLE, TENABLE.IO, TENABLE NETWORK SECURITY, NESSUS, SECURITYCENTER, SECURITYCENTER
CONTINUOUS VIEW Y LOG CORRELATION ENGINE SON MARCAS COMERCIALES REGISTRADAS DE TENABLE, INC. TENABLE.SC, LUMIN, ASSURE Y THE CYBER EXPOSURE COMPANY
SON MARCAS COMERCIALES DE TENABLE, INC. EL RESTO DE LOS PRODUCTOS O SERVICIOS SON MARCAS COMERCIALES DE SUS RESPECTIVOS DUEÑOS.