Academia OSINT

Las 12 vulnerabilidades explotadas con mayor frecuencia en 2022 (3)

Related: Las 12 vulnerabilidades explotadas con mayor frecuencia en 2022 (2)

vulnerabilities

Las 12 vulnerabilidades explotadas con mayor frecuencia en 2022 (3) - Sistema de inteligencia de código abierto de Knowlesys

Academia OSINT

Las 12 vulnerabilidades explotadas con mayor frecuencia en 2022 (3)

Relacionado:

Las 12 vulnerabilidades explotadas con mayor frecuencia en 2022 (2)

7–8.Atlassian Confluence Server & Data Center (CVE-2021-26084, CVE-2022-26134)

Atlassian Confluence, una plataforma de colaboración y documentación utilizada por muchas organizaciones gubernamentales y del sector privado, también es muy favorecida por los actores de amenazas.Las dos vulnerabilidades preseleccionadas, CVE-2021-26084 y CVE-2022-26134, están relacionadas con la inyección de lenguaje de navegación de objeto Graph (OGNL).

La primera explotación a gran escala de CVE-2021-26084 ocurrió en septiembre de 2021 y se dirigió al popular servicio de documentos basado en la web.La plataforma Confluence está diseñada para permitir que varios equipos colaboren en proyectos compartidos.Un actor malicioso podría usar la vulnerabilidad de inyección de comando CVE-2021-26084 para ejecutar código arbitrario en una instancia de Servidor de Confluence o Centro de datos.Los atacantes esencialmente tienen los mismos privilegios que el usuario que ejecuta el servicio y, por lo tanto, pueden ejecutar cualquier comando, obtener privilegios administrativos elevados y establecer un punto de apoyo en el entorno.CISA emitió un asesoramiento que ordenó a los usuarios y administradores que verifiquen las actualizaciones de Atlassian para evitar el compromiso.

Solo nueve meses después, Atlassian liberó otra vulnerabilidad de inyección de OGNL contra los servidores de confluencia y los centros de datos.Rastreado como CVE-2021-26134, la vulnerabilidad permite a un atacante no autenticado ejecutar código arbitrario en todas las versiones de Confluence Data Center y del servidor compatibles.Después de que se publicó una prueba de concepto (POC) dentro de una semana de la divulgación inicial, esta vulnerabilidad de nivel crítico se convirtió rápidamente en uno de los más explotados.En este caso, CVE-2021-26134 se utilizó para implementar un RCE no autenticado en un servidor y luego lanzar un shell web atrás.El Web Shell detrás empodera a los actores maliciosos con características muy poderosas, como la interacción con Meterpreter y Cobalt Strike y un caparazón web de memoria.

Según el sitio web de Atlassian, la compañía respalda el 83 por ciento de las compañías Fortune 500, tiene 10 millones de usuarios activos por mes y tiene más de 235,000 usuarios en más de 190 países.Estos dos CVE con sede en Atlassia demuestran cómo los actores de amenaza de motivación financiera continúan explotando vulnerabilidades para atacar a muchos objetivos atractivos simultáneamente.



9. Log4shell (CVE-2021-44228)

Log4Shell, rastreado como CVE-2021-44228 y también conocido como la "vulnerabilidad log4j", es la vulnerabilidad de RCE más grave que se encuentra en Apache Log4j, una popular biblioteca de registro basada en Java ampliamente utilizada en diversas aplicaciones.La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en un sistema afectado, lo que podría conducir a un acceso no autorizado, divulgación de datos o incluso comprometer todo el sistema.
La vulnerabilidad, que se divulgó públicamente por primera vez en diciembre de 2021, se debe al uso de datos no confiables en el mecanismo de búsqueda del componente "LOG4J2", que permite a un atacante inyectar código malicioso a través de mensajes de registro diseñados.Este defecto expuso una amplia variedad de aplicaciones, incluidos los servidores web, el software empresarial y los servicios basados en la nube que dependen de LOG4J para el registro.
Aunque Apache lanzó rápidamente un parche para la vulnerabilidad de Nivel 10.0 RCE, los expertos en seguridad confirmaron que dado su uso generalizado entre los principales proveedores, la exploit continuaría y podría conducir a una implementada implementación de malware.Desde entonces, CISA ha emitido una directiva operativa vinculante (BOD) que ordena a las agencias federales de rama ejecutiva civil (FCEB) que repare sus sistemas para abordar esta vulnerabilidad crítica.
La rápida explotación de log4shell se atribuye a su implementación generalizada en diferentes industrias y plataformas.Además, el parche de la vulnerabilidad ha demostrado ser extremadamente desafiante, ya que muchas organizaciones luchan por identificar y actualizar todas las instancias de log4j en su infraestructura de manera oportuna.
Artículos relacionados:
¿Cómo usar la inteligencia de código abierto para el análisis de la superficie de ataque?