Los hackers se volvieron mucho más rápidos a la hora de explotar las fallas de softwares en 2021, y el tiempo promedio de explotación se redujo de 42 días en 2020 a solo 12 días. Y de acuerdo con el nuevo “Informe de inteligencia de vulnerabilidad 2021” de la firma de seguridad Rapid7, eso marca una disminución del 71% en el “tiempo hasta la explotación conocida” o TTKE.
La razón principal de la reducción de TTKE fue gracias a un aumento en los ataques de día cero generalizados, muchos de los cuales fueron utilizados por bandas de ransomware, según la empresa.
Para Rapid7, 2021 fue un año terrible para las empresas con fallas de software
Según señala Rapid7, 2021 fue un año difícil para los defensores, pues inició con el ataque a la cadena de suministro SolarWinds Orion. Ataque que se atribuyó a hackers patrocinados por el estado ruso. Además, el año finalizó con la falla de Apache Log4j, que no tenía un atacante principal evidente, pero que terminó extendiéndose por millones de sistemas de TI.
Pero Rapid7 no ha sido la única empresa en detectar estas amenazas. Pues los investigadores del Grupo de Análisis de Amenazas (TAG) de Google y Project Zero también observaron un aumento en los ataques de día cero. En otras palabras: donde los atacantes aprovechan para explotar una falla antes de que el proveedor haya lanzado un parche para ello.
Rapid7 halló 33 vulnerabilidades reveladas en 2021, las cuales consideró «generalizadas». También encontró 10 adicionales que fueron «explotadas en la naturaleza» y siete más donde una amenaza era «inminente», ya que había un exploit disponible. La compañía de seguridad recomienda parchear las amenazas inminentes lo más pronto posible.
La lista de Rapid7 excluye las fallas del navegador porque ya están bien cubiertas por el rastreador de día cero de Google Project Zero . En su lugar, Rapid7 se centra en el software del lado del servidor, lo que significa que su conjunto de datos subrepresenta la explotación de día cero detectada en 2021.
¿A quién se atribuye esta tendencia de ataques?
Rapid7 destacó varias tendencias sorprendentes en su informe. Un ejemplo: en el año 2021, el 52 % de las amenazas generalizadas comenzaron con un exploit de día cero.
Cosa que es «inusual y tremendamente alarmante», según la firma de seguridad. Pues esos ataques no se reducen solo a ser muy específicos, como fue el caso en el 2020. En cambio, en el 2021, el 85% de los exploits amenazaron a muchas organizaciones en lugar de solo a unas pocas.
Rapid7 cree que gran parte de esta tendencia se debe a la proliferación de afiliados que respaldan la industria del ransomware, la cual está dominada por el modelo de ransomware como servicio. De hecho, la compañía señala que, en el 2021, el 64% de las 33 vulnerabilidades ampliamente explotadas fueron utilizadas por grupos de ransomware.
¿Cuáles fallas de software incluye la lista de Rapid7?
La lista «generalizada» de Rapid7 del año 2021 incluye a los siguientes softwares empresariales:
- SAP
- Zyxel
- SonicWall
- Accession
- VMware
- Microsoft Exchange ( los errores de ProxyLogon )
- F5
- GitLan
- Pulse Connect
- QNAP
- Forgerock
- Microsoft Windows
- Kaseya
- SolarWinds
- Atlassian
- Zoho
- Apache HTTP Server
- Y, por supuesto, Apache Log4j
Dichas fallas afectaron a los firewalls, las redes privadas virtuales (VPN), el servidor de correo electrónico de Microsoft y al sistema operativo de escritorio. Incluso a la nube, a una plataforma de código compartido, productos de administración remota de TI y muchas otras cosas más.
Muchos de esos errores fueron explotados en un momento donde la mayoría de las personas aún trabajaban de forma remota y confiaban en el acceso remoto y las VPN para conectarse al trabajo.
Los puntos positivos del año 2021
Pese a todo lo oscuro del año 2021, Rapid7 encontró algunos puntos positivos ese año. Entre ellos se encuentra el “Catálogo de vulnerabilidades conocidas y explotadas” de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. ( CISA ). Y su directiva vinculante para que las agencias federales corrijan fallas dentro de un período de tiempo determinado. Además, lo que hace que la industria de seguridad pueda medir tal aumento en los ataques de día cero es porque los exploits de día cero se detectan y analizan más rápido.
