Exploits y vulnerabilidades en el primer trimestre de 2024

En Kaspersky, vigilamos constantemente el cambiante panorama de las ciberamenazas para responder a tiempo a las nuevas amenazas, dotando a nuestros productos de lógicas y tecnologías de detección. Uno de los componentes esenciales de este panorama son las vulnerabilidades de software que los atacantes pueden explotar o que ya se están explotando. En este informe, presentaremos una serie de interesantes muestras representativas estadísticas y analíticas que evidencian tanto las tendencias de la aparición de nuevas vulnerabilidades y exploits, como las vulnerabilidades más comunes que ya están siendo explotadas en ciberataques. Además, detallaremos algunas vulnerabilidades curiosas que se descubrieron en el primer trimestre de 2024.

Estadísticas sobre vulnerabilidades registradas

Para facilitar el manejo de las vulnerabilidades, el proveedor puede registrarlas y asignarles identificadores CVE. Todos los identificadores y la información pública sobre ellos se publican en https://cve.mitre.org (en el momento de redactar este informe está en proceso de trasladarse al nuevo dominio https://www.cve.org/). Aunque los proveedores no siempre registran las vulnerabilidades y la lista de CVE no puede considerarse completa, puede utilizarse como base para hacer un seguimiento de ciertas tendencias. Hemos analizado los datos sobre vulnerabilidades informáticas registradas y hemos comparado su número a lo largo de los últimos cinco años.

Número de nuevos CVE registrados, 2019-2023. El descenso en 2024 se debe a que sólo se presentan datos del primer trimestre (descargar)

Como puede verse en el gráfico, el número de nuevas vulnerabilidades muestra un estable aumento al pasar de los años. Hay varias razones para ello.

En primer lugar, la popularización de los sitios de BugBounty y de los concursos de caza de vulnerabilidades ha sido un gran estímulo para la investigación en este ámbito. Como consecuencia, se descubren cada vez más vulnerabilidades. Por la misma razón, cada vez más proveedores registran las vulnerabilidades encontradas, y el número de CVE crece de forma proporcional.

En segundo lugar, las empresas dedicadas al desarrollo de software, sistemas operativos y lenguajes de programación populares introducen cada vez más soluciones de seguridad y nuevos procedimientos que mejoran la eficacia de la supervisión de la vulnerabilidad del software. Por un lado, esto hace que aumente la frecuencia con que se descubren vulnerabilidades, mientras que por otro, clases enteras de antiguas vulnerabilidades quedan obsoletas. En consecuencia, tanto los atacantes como los investigadores de seguridad que tratan de adelantárseles buscan activamente nuevos tipos de vulnerabilidades y crean servicios automatizados para detectarlas con mayor eficacia.

Por último, con el tiempo surgen nuevos programas y los existentes se actualizan y se hacen más complejos, lo que puede dar lugar a nuevas vulnerabilidades. Con el rápido avance de la tecnología, es probable que el número de vulnerabilidades descubiertas no haga sino aumentar año tras año.

No obstante, cabe señalar que las distintas vulnerabilidades plantean diferentes niveles de amenaza a la seguridad. Entre ellas, merecen destacar las de importancia más crítica. Calculamos la proporción de vulnerabilidades críticas basándonos en los datos de la lista de CVE registrados, así como en los resultados de las pruebas internas de reproducibilidad de vulnerabilidades.

Número de nuevos CVE registrados y porcentaje de las de importancia crítica, 2019-2023. El descenso en 2024 se debe a que sólo se presentan datos del primer trimestre (descargar)

Como puede verse en el gráfico, el número de vulnerabilidades críticas crece a pasos agigantados. Por ejemplo, en 2021 y 2022, la proporción de vulnerabilidaes críticas entre el total de vulnerabilidades fue comparable, mientras que, de 2019 a 2021, y de 2022 a 2023, aumentó. En particular, 2023 fue un año récord en cuanto al número de vulnerabilidades críticas descubiertas en diversos programas informáticos. Al mismo tiempo, la proporción de vulnerabilidades críticas entre el total de vulnerabilidades registradas sigue siendo alta en el primer trimestre de 2024. Esto subraya una vez más la importancia de una gestión responsable de los parches, así como la necesidad de utilizar soluciones de seguridad capaces de impedir la explotación de vulnerabilidades.

Estadísticas de explotación de vulnerabilidades

Esta sección contiene estadísticas de los exploits procedentes tanto de fuentes públicas y la lista de CVE registrados, como de nuestra telemetría.

Un exploit es un programa que contiene datos o códigos ejecutables que permite aprovechar una o varias vulnerabilidades del software de una computadora local o remota con fines deliberadamente maliciosos. El mayor valor para los desarrolladores de exploits son las vulnerabilidades de software que les permiten tomar el control del sistema de un usuario.

Los exploits pueden ser creados tanto por entusiastas, incluidos los que participan en diversos programas BugBounty, como por atacantes que venden sus creaciones en foros clandestinos o las utilizan para sus propios fines.

Un anuncio para comprar exploits de día cero y de primer día en la darknet

Explotación de vulnerabilidades en Windows y Linux

A continuación, se muestra la dinámica del número de usuarios de Linux y Windows protegidos por las soluciones de Kaspersky que sufrieron la explotación de vulnerabilidades durante 2023 y en el primer trimestre de 2024. Las estadísticas se basan en los datos de Kaspersky Security Network proporcionados voluntariamente por nuestros usuarios.

Dinámica del número de usuarios de Windows que fueron víctimas de exploits, primer trimestre de 2023 – primer trimestre de 2024. El número de usuarios que fueron víctimas de exploits en el primer trimestre de 2023 se considera del 100% (descargar)

Dinámica del número de usuarios de Linux que fueron víctimas de exploits, primer trimestre de 2023 – primer trimestre de 2024. El número de usuarios que fueron víctimas de exploits en el primer trimestre de 2023 se considera del 100% (descargar)

Como muestra el gráfico, el número de usuarios de Windows que fueron víctimas de la explotación de vulnerabilidades se mantuvo más o menos al mismo nivel a lo largo de 2023, mientras que el número de usuarios de Linux afectados creció durante todo el año. Sin embargo, no se trata necesariamente de las mismas vulnerabilidades en ambos casos. Algunas de ellas pierden relevancia con bastante rapidez y los atacantes pasan a usar otras más nuevas.

Veamos la dinámica de la popularidad de vulnerabilidades específicas con el ejemplo de CVE-2023-38831 en WinRAR:

Dinámica de popularidad de la vulnerabilidad CVE-2023-38831 en WinRAR, septiembre de 2023 – marzo de 2024 (descargar)

El gráfico muestra que la vulnerabilidad fue muy popular casi tras su registro en septiembre de 2023, pero fue perdiendo relevancia a medida que los usuarios instalaban parches. Esto subraya una vez más que las vulnerabilidades interesan a los atacantes mientras sean pocas las personas que instalan los parches.

Estadísticas de exploits públicos

La presencia de un exploit, sobre todo si está disponible en plataformas públicas como GitHub, es uno de los criterios importantes para evaluar cuán crítica es una vulnerabilidad. Hemos analizamos los datos sobre los exploits publicados para las vulnerabilidades registradas.

Número de vulnerabilidades y porcentaje de vulnerabilidades para las que existen exploits, 2019-2024 (descargar)

Las estadísticas muestran un aumento en el número total de exploits, sean “listos para usar” o pruebas de concepto “crudas”. Estos últimos pueden ser inestables, pero ilustran la posibilidad de explotar la vulnerabilidad y pueden perfeccionarse en el futuro. Cabe señalar que existe una demanda entre los atacantes tanto de nuevos exploits como de mejoras de los ya publicados. Por ejemplo, que estén optimizados para que funcionen en varios sistemas operativos, agreguen nuevas formas de procesar datos, sean más estables, etc.

Anuncio en la darknet que busca un exploit para la vulnerabilidad CVE-2023-40477 en WinRAR

Anuncio de la darknet en el que un atacante busca ayuda para configurar un exploit para CVE-2023-28252 para versiones no tan nuevas de Windows.

Los exploits más difundidos

Supervisamos continuamente los exploits publicados para diversas vulnerabilidades, centrándonos en las vulnerabilidades críticas. Analizando estos exploits, hemos identificado varias clases de software que despiertan amplio interés en los delincuentes:

• Navegadores;
• Sistemas operativos (Windows, Linux, macOS);
• Servidores MS Exchange y sus componentes;
• Servidores MS Sharepoint y sus componentes;
• Paquete de instrumentos de MS Office;
• Todas las demás aplicaciones que no pertenezcan a las cinco primeras clases.

Veamos a qué clases de software, en 2023 y el primer trimestre de 2024, pertenecían las vulnerabilidades más críticas para las que existen exploits operativos:

Distribución de exploits para vulnerabilidades críticas por plataforma, 2023 (descargar)

Distribución de exploits para vulnerabilidades críticas por plataforma, primer trimestre de 2024 (descargar)

Los datos muestran que las principales categorías de software en términos de criticidad y número de exploits activos son:

• Sistemas operativos;
• Navegadores.

Al mismo tiempo, también hemos visto bastantes exploits para servidores Exchange en el primer trimestre de 2024. Además, un número considerable de exploits correponden a la categoría “Otro software”. Esto se debe a la variedad de programas que pueden instalarse en los sistemas de los usuarios para realizar tareas empresariales.

Explotación de vulnerabilidades en ataques APT

La explotación de las vulnerabilidades de software es una parte integral de casi cualquier ataque APT dirigido a las infraestructuras de las organizaciones. El análisis de la información de los informes APT públicos de 2023 y el primer trimestre de 2024 nos permitió establecer cuál es el software que los atacantes explotan con más frecuencia. A continuación, se muestran las vulnerabilidades más explotadas por las APT en 2023 y principios de 2024.

TOP 10 vulnerabilidades explotadas en ataques APT, 2023

TOP 10 vulnerabilidades explotadas en ataques APT, primer trimestre de 2024

TOP 10 vulnerabilidades explotadas en ataques APT, 2023Las estadísticas proporcionadas permiten concluir que en este momento los ataques más populares entre los delincuentes son los realizados a través de:

• Servicios de acceso remoto vulnerables (Ivanti, ScreenConnect);
• Mecanismos de control de acceso vulnerables (Windows Smart Screen);
• Aplicaciones ofimáticas vulnerables. Cabe destacar que los exploits para el paquete MS Office, que durante mucho tiempo encabezaron la lista de los más comunes en los ataques, fueron desplazados por una vulnerabilidad en WinRAR que apareció en 2023.

Así pues, puede concluirse que la mayoría de grupos de APT explotan las vulnerabilidades cuando obtienen el acceso inicial a la infraestructura. En la mayoría de los casos se trata de una violación del perímetro (por ejemplo, la explotación de servicios vulnerables accesibles desde Internet, como las redes privadas virtuales y las aplicaciones web) o de la explotación de programas ofimáticos combinada con ingeniería social (por ejemplo, el envío por correo de un documento o archivo infectado a los empleados de la empresa).

Vulnerabilidades curiosas del primer trimestre de 2024

En esta sección, examinaremos las vulnerabilidades más curiosas registradas en el primer trimestre de 2024 y ofreceremos la estadística de su explotación, basándonos en los datos de Kaspersky Security Network.

CVE-2024-3094 (XZ)

A finales de marzo, se descubrió un backdoor en el paquete de la utilidad de compresión de datos XZ. Mediante la adulteración del proceso de compilación, los delincuentes agregaron un código malicioso al código fuente de la biblioteca de manejo de datos comprimidos. Cuando se cargaba dicha biblioteca, el código malicioso empezaba a modificar en memoria las funciones que algunas distribuciones exportan para conectarse a servidores SSH, de forma que los atacantes podían enviar comandos al servidor infectado.

Este backdoor es notable porque los atacantes fueron capaces de añadir algoritmos maliciosos a una biblioteca popular, algo que sólo se ha hecho un puñado de veces en la historia de las aplicaciones de código abierto. Además, este ataque se distingue de la mayoría de otros similares por la complejidad de la infección y el que se la haya efectuado durante varias etapas. Además, nadie podía utilizar el backdoor, excepto el autor del código malicioso.

CVE-2024-20656 (Visual Studio)

Una vulnerabilidad en Visual Studio permite a los atacantes incrementar su nivel de privilegios en el sistema. Un atacante podría utilizarla para perpetrar un ataque de “restablecimiento de DACL” en Windows. Una DACL (Discretionary Access Control List) es una lista de control de acceso que describe el nivel de acceso de los usuarios para realizar determinadas operaciones con un objeto. Si se lo restablece, se eliminan todas las restricciones de acceso a los archivos o directorios del sistema y cualquier usuario puede hacer lo que quiera con ellos. Esta vulnerabilidad es interesante por su algoritmo de explotación.

El código fuente del exploit que estudiamos utiliza el método de redirigir el servicio de depuración de aplicaciones de Visual Studio de un directorio a otro a través de SymLink: DummyDir=> Global\\GLOBALROOT\\\RPC Control => TargetDir, donde DummyDir es un directorio público especialmente creado por el atacante y TargetDir es el directorio al que quiere acceder. Al redirigir el servicio de depuración de aplicaciones de DummyDir a TargetDir, este último recibe una configuración de acceso similar a DummyDir.

Este método de utilizar enlaces para realizar acciones específicas sobre archivos protegidos es bastante difícil de neutralizar, ya que no todos los archivos del sistema pueden protegerse contra escritura. Esto significa que también podría utilizarse para explotar otras vulnerabilidades. Si encuentra un archivo o dependencia utilizado por el servicio del sistema operativo de destino y elimina las restricciones de modificación de dicho archivo o dependencia, después de que el exploit se ejecuta, el usuario puede simplemente sobrescribir ese archivo o dependencia. En la siguiente ejecución, el código añadido por los atacantes se inicia en el servicio atacado y tendrá el mismo nivel de acceso que el propio servicio.

En este momento, no tenemos constancia de casos en los que se haya aprovechado esta vulnerabilidad en ataques reales, pero tiene las mismas primitivas de explotación que la vulnerabilidad CVE-2023-36874, que los atacantes comenzaron a explotar antes de que fuera descubierta.

CVE-2024-21626 (runc)

La virtualización basada en características del sistema operativo, o contenedorización, se utiliza hoy en día con bastante frecuencia para escalar aplicaciones y crear sistemas tolerantes a fallas. Por lo tanto, las vulnerabilidades en los sistemas que permiten administrar contenedores tienen importancia crítica.

La vulnerabilidad en cuestión apareció debido a las peculiaridades del funcionamiento de la llamada al sistema fork en el kernel de Linux. Esta llamada al sistema se caracteriza por la forma en que se inicia el proceso secundario, que se copia del proceso principal.

Esta función permite lanzar aplicaciones con bastante rapidez y encierra un peligro que los desarrolladores no siempre tienen presente. La copia completa de procesos implica que se puede acceder a algunos de los datos del proceso principal desde el proceso secundario. Si dichos datos no se monitorean en el código de la aplicación, puede producirse una vulnerabilidad de divulgación de datos, CWE-403 – Exposure of File Descriptor to Unintended Control Sphere (Exposición de descriptor de archivo a esfera de control no intencionada) según la clasificación CWE.

La vulnerabilidad CVE-2024-21626 es un ejemplo excelente del problema descrito. En el conjunto de herramientas Docker, la herramienta runc se utiliza para crear y ejecutar contenedores, por lo que con respecto a runc, un contenedor en ejecución es un proceso secundario. Si se intenta acceder al directorio /proc/self desde este contenedor, se pueden obtener descriptores de todos los archivos que fueron abiertos por el proceso runc. La navegación por los recursos y descriptores disponibles en Linux sigue las reglas del sistema de archivos, así que para explotar la vulnerabilidad, casi de inmediato se comenzó a utilizar la ruta relativa a los intérpretes que están disponibles para el proceso principal para utilizarlos para escapar del contenedor.

La explotación de la vulnerabilidad puede detectarse a través de la actividad en un contenedor ya en funcionamiento. El patrón principal que surge durante la explotación es que el contenedor intenta acceder al sistema de archivos a través de la ruta:

/proc/self/cwd/../

CVE-2024-1708 (ScreenConnect)

ConnectWise ScreenConnect es un software de acceso remoto al escritorio. La aplicación incluye las aplicaciones que se ejecutan en los sistemas cliente y un servidor que puede utilizarse para administrarlos. El servidor está ejecutando una aplicación web que contiene la vulnerabilidad en cuestión.

Se cree que el mecanismo más crítico que tienen las aplicaciones web es el de diferenciación de acceso. Sólo funciona si en una aplicación web cada función y cada parámetro disponible para el usuario se controlan y comprueban antes de ser utilizados en el algoritmo de la aplicación. En ScreenConnect, el monitoreo y el control de las consultas resultaron insuficientes. Un atacante podría forzar un reinicio del sistema simplemente agregando un / a la URL de la solicitud original (por ejemplo, http://vuln.server/SetupWizard.aspx/). Como resultado, un atacante podría iniciar sesión como administrador y utilizar el servidor para fines maliciosos.

Esta vulnerabilidad es explotada activamente por atacantes, por lo que recomendamos a los usuarios de ScreenConnect que apliquen el parche publicado por los desarrolladores y configuren reglas de cortafuegos para restringir el acceso a la interfaz web del servidor.

CVE-2024-21412 (Windows Defender)

El objetivo de la mayoría de los ataques a sistemas de usuario es lanzar comandos maliciosos. Existe una gran variedad de formas de llevar a cabo esta tarea, pero la más popular y estable es lanzar un archivo malicioso. Para minimizar el riesgo de que se ejecuten aplicaciones no autorizadas, Windows dispone de un mecanismo denominado filtro SmartScreen. Se utiliza para comprobar los sitios que visita el usuario y los archivos que descarga de Internet. Cuando se inicia la prueba, el usuario ve la pantalla de bloqueo:

Una notificación de este tipo puede hacer que el usuario se pregunte si de verdad quiere lanzar la aplicación. Por eso, hoy en día los atacantes tratan de encontrar la manera de engañar al filtro. CVE-2024-21412 es una de ellas.

El engaño del mecanismo de protección se basa en un principio sencillo: si se comprueban archivos procedentes de Internet, hay que hacer creer al filtro que el archivo ya estaba en el sistema en el momento de su lanzamiento.

Se lo puede lograr haciendo ciertas operaciones con el archivo en el NAS. En la vulnerabilidad en cuestión, el almacenamiento está alojado en un servidor WebDAV. La funcionalidad del protocolo del mismo nombre permite a varios usuarios editar al mismo tiempo un archivo almacenado en un servidor, y Windows dispone de funciones de acceso automático a dicho almacenamiento. Lo único que les queda por hacer a los atacantes es presentar adecuadamente el servidor al sistema. Para ello se utiliza una URL de archivo con el siguiente contenido:

CVE-2024-27198 (TeamCity)

Vulnerabilidad en la interfaz web de la aplicación TeamCity, que se utiliza para proporcionar integración continua ypermite acceder a funciones a las que sólo podrían acceder usuarios autenticados. La explotación de la vulnerabilidad puede detectarse analizando los registros estándar que TeamCity crea en el directorio de trabajo. El patrón malicioso es el siguiente:

La manipulación incorrecta de archivos con un nombre en blanco, como en la captura de pantalla anterior, da lugar a que un atacante no autorizado obtenga acceso a la API del servidor.

Los atacantes explotan esta vulnerabilidad para la penetración inicial en los sistemas objetivo. Para controlar mejor su funcionamiento, recomendamos auditar las cuentas que tienen acceso a la interfaz web.

CVE-2023-38831 (WinRAR)

Esta vulnerabilidad se descubrió en 2023, pero creemos que es importante prestarle atención debido a su popularidad entre los atacantes tanto a finales de 2023 como en el primer trimestre de 2024.

La vulnerabilidad funciona así: al intentar abrir un fichero de un archivo en la interfaz gráfica de WinRAR, el programa también abre el contenido de la carpeta del mismo nombre, si está presente en el archivo.

Desde que los delicuentes empezaron a usar activamente la vulnerabilidad, han surgido numerosas variantes de exploits que pueden tener uno de estos dos formatos:

• Archivos ZIP;
• Archivos RAR.

Las diferencias entre el malware y los archivos existentes no permiten determinar sin ambigüedad si un archivo es un exploit. Sin embargo, es posible destacar los principales indicios de un exploit:

• El archivo contiene archivos con el mismo nombre que los subdirectorios;
• El nombre de al menos un archivo contiene un espacio antes de la extensión;
• El archivo contiene necesariamente un archivo ejecutable, que se encuentra en el directorio adjunto.

Aquí hay ejemplos de tales archivos en el editor hexadecimal. Para un archivo ZIP, los datos son los siguientes:

Para archivos RAR, estos:

Los atacantes han aprendido a ocultar los artefactos del exploit poniendo una contraseña a un archivo: en este caso, las rutas de los archivos pueden estar cifradas, por lo que el exploit sólo puede detectarse mediante un análisis de comportamiento.

Conclusiones y recomendaciones

Cada año que pasa se registran cada vez más vulnerabilidades. El número de exploits públicos también va en aumento. Al mismo tiempo, la explotación de vulnerabilidades es uno de los componentes clave de los ataques selectivos y, por regla general, los atacantes explotan con fruición las vulnerabilidades en las primeras semanas después de que se registran y se publica un exploit. Para mantenerse a salvo, también hay que estar atento a los cambios en el panorama de las amenazas:

• Conocer bien su infraestructura, vigilar de cerca sus activos y, sobre todo, prestar especial atención al perímetro. Conocer la propia infraestructura, que es un factor clave a la hora de crear cualquier proceso que garantice la seguridad.
• Desarrollar la administración de parches para detectar a tiempo el software vulnerable en la infraestructura e instalar parches de seguridad. En esto pueden ayudarle Vulnerability Assessment and Patch Management y Kaspersky Vulnerability Data Feed.
• Aplicar soluciones de defensa integrales para construir un sistema de seguridad flexible y eficaz que incluya una protección confiable de los puestos de trabajo, detectar y detener ataques de cualquier complejidad en una fase temprana, recopilar datos actualizados sobre ciberataques en todo el mundo y formar a los empleados en competencias digitales básicas. Como tal solución, capaz de adaptarse a las necesidades y capacidades de una empresa de cualquier tamaño, podemos ofrecer la línea de productos de protección empresarial Kaspersky NEXT.