Los analistas de seguridad de Google Mandiant advierten sobre una nueva tendencia preocupante en la que los actores de amenazas están demostrando una mayor capacidad para descubrir y explotar vulnerabilidades de día cero en el software.
Específicamente, de las 138 vulnerabilidades reveladas como explotadas activamente en 2023, Mandiant informa que 97 (70,3%) fueron explotadas como de día cero.
Esto significa que los actores maliciosos explotaron las fallas de los ataques antes de que los proveedores afectados supieran de la existencia de los errores o pudieran corregirlos.
De 2020 a 2022, la proporción de n días (defectos solucionados) a cero días (no hay correcciones disponibles) se mantuvo relativamente estable en 4:6, pero en 2023 la proporción aumentó a 3:7.
Google explicar que esto no se debe a una disminución en el número de días n explotados en la naturaleza, sino más bien a un aumento en la explotación de día cero y a la mejora de la capacidad de los proveedores de seguridad para detectarlo.
Este aumento de la actividad maliciosa y la diversificación de los productos específicos también se refleja en la cantidad de proveedores afectados por vulnerabilidades explotadas activamente, que aumentó en 2023 a un récord de 56, frente a 44 en 2022 y más que el récord anterior de 48 proveedores en 2021.
Los tiempos de respuesta son cada vez más ajustados
Otra tendencia significativa se registró con respecto al tiempo de explotación (TTE) de una vulnerabilidad recientemente revelada (n días o 0 días), que ahora se ha reducido a solo cinco días.
A modo de comparación, en 2018-2019 el TTE fue de 63 días y en 2021-2022 el TTE fue de 32 días. Esto dio a los administradores de sistemas tiempo suficiente para planificar la aplicación de parches o implementar medidas de mitigación para proteger los sistemas afectados.
Sin embargo, ahora que el TTE se ha reducido a cinco días, estrategias como la segmentación de la red, la detección en tiempo real y la priorización de parches urgentes se vuelven mucho más críticas.
En la misma línea, Google no ve una correlación entre la divulgación de exploits y el TTE.
En 2023, el 75% de los exploits se hicieron públicos antes de que comenzara la explotación salvaje y el 25% se publicaron después de que los piratas informáticos ya hubieran explotado los fallos.
Dos ejemplos destacados en el informe para mostrar que no existe una relación consistente entre la disponibilidad pública de exploits y la actividad maliciosa son CVE-2023-28121 (complemento de WordPress) y CVE-2023-27997 (Fortinet FortiOS).
.jpg)
Fuente: Google
En el primer caso, la explotación comenzó tres meses después de la divulgación y diez días después de la publicación de una prueba de concepto.
En el caso de FortiOS, la falla fue explotada casi de inmediato por exploits públicos, pero el primer evento de explotación maliciosa se registró cuatro meses después.
La dificultad de explotación, la motivación del actor de amenazas, el valor objetivo y la complejidad general del ataque influyen en el TTE, y una correlación directa o aislada con la disponibilidad de PoC es espuria según Google.