Las 12 vulnerabilidades explotadas con mayor frecuencia en 2022 (4)

vulnerabilities

10-11.VMware Workspace One Access & Identity Manager (CVE-2022-22954, CVE-2022-22960)

VMware es un software de virtualización popular que a menudo cae presa de los atacantes cibernéticos en todos los niveles, incluidos los grupos APT.La explotación de vulnerabilidades en VMware puede autorizar el acceso no autorizado a máquinas virtuales y datos críticos alojados en la plataforma.Debido a que VMware virtualiza múltiples sistemas en un solo servidor físico, un ataque exitoso podría comprometer múltiples máquinas virtuales a la vez.Por lo general, los atacantes eligen dirigirse a los entornos VMware para obtener un punto de apoyo en una red más grande, aprovechando la confianza y la accesibilidad de la infraestructura virtualizada.La vulnerabilidad de VMware tomó dos lugares en la lista de vulnerabilidades de CISA este año.

Primero, CVE-2022-22954 (CVSS Score 9.8) es una vulnerabilidad de inyección de plantilla del lado del servidor que puede ser activado por un actor malicioso con acceso a la red para implementar RCE en el espacio de trabajo de VMware One Access & Identity Manager.Después de que el POC para la vulnerabilidad se lanzó la primavera pasada, los investigadores de seguridad descubrieron que se estaba utilizando en un ataque activo para infectar servidores con máquinas mineras.

En segundo lugar, CVE-2022-22960 es una vulnerabilidad de escalada de privilegios.Según el aviso de CISA sobre esta vulnerabilidad, permite a un actor malicioso con acceso local a privilegios intensivos a root debido a permisos incorrectos en el script de soporte.Si está vinculado con CVE-2022-22954, un atacante podría ejecutar comandos de shell arbitrarios como usuario de VMware, luego borre los registros, intensifica los privilegios y se mueva lateralmente a otro sistema con acceso raíz.

12. F5 Reds Big-IP (CVE-2022-1388)

En septiembre pasado, F5 lanzó un parche para una vulnerabilidad crítica de RCE relacionada con el conjunto de productos Big-IP, y unos días después, los investigadores de seguridad pudieron crear una exploit para la vulnerabilidad.

CVE-2022-1388 (puntaje CVSS 9.8) se clasifica como una vulnerabilidad de autenticación faltante que involucra un bypass de autenticación Icontrol REST, lo que podría llevar a un atacante a obtener acceso y tomar el control de un sistema de Big-IP comprometido.Un atacante podría realizar muchas acciones maliciosas, como cargar un caparazón web para futuros ataques, implementar mineros de criptomonedas y fugas de datos confidenciales.

Los defectos de ejecución de código remoto son fáciles de explotar, lo que los convierte en un objetivo para los actores de amenaza oportunistas.Cada vez que se descubren vulnerabilidades en los servicios orientados a Internet, los actores de amenaza seguramente se apresuran a explotarlos.Las vulnerabilidades como CVE-2022-1388 proporcionan acceso inicial inmediato a la red objetivo y a menudo permiten a los atacantes realizar ataques a través del movimiento lateral y la escalada de privilegios.

Conclusión

Los equipos de seguridad empresarial deben reconocer que aún existen vulnerabilidades más antiguas y continuar representando una amenaza significativa.Si bien las últimas CVE a menudo son más visibles, la lista anual de vulnerabilidades de CISA es un recordatorio claro de que las vulnerabilidades conocidas aún pueden causar estragos en los sistemas vulnerables.

Además de la lista integral, CISA proporciona orientación para que los proveedores y las organizaciones de tecnología identifiquen y mitigen los riesgos potenciales.Las recomendaciones incluyen adoptar prácticas seguras por diseño y priorizar el parche de vulnerabilidades explotadas conocidas para minimizar el riesgo de compromiso.También se alienta a los proveedores a establecer un proceso de divulgación de vulnerabilidad coordinado para permitir el análisis de causa raíz de las vulnerabilidades descubiertas.