Una o dos veces al año los investigadores de amenazas descubren una enorme vulnerabilidad de software expuesta en Internet, que permite a los ciberdelincuentes hacerse con el control de un ordenador vulnerable. Después los atacantes usan ese ordenador como puerta de entrada para infringir daños importantes en la empresa atacada.
¿Recuerda Dirty COW (CVE-2016-5195), runc (CVE-2019-5736), Sudo (CVE-2019-14287), ZeroLogon (CVE-2020-1472), PwnKit (CVE-2021-4034) o Dirty Pipe (CVE-2022-0847)? Últimamente, regreSSHion (CVE-2024-6387) se unió a la lista de vulnerabilidades con nombres "elegantes" (en inglés) y con un gran potencial de impacto. La descubrió y divulgó la unidad de investigación de amenazas de Qualys.
RegreSSHion: una nueva vulnerabilidad de software OpenSSH
RegreSSHion es una vulnerabilidad del servicio de seguridad OpenSSH. OpenSSH es una herramienta de código abierto que permite efectuar con seguridad la administración de sistemas, transferencias de archivos y otras comunicaciones a través de Internet o de redes no fiables. Se utiliza en muchos sistemas operativos basados en Unix, como Mac y Linux.
Según explica Qualys en su blog, en caso de que se aprovechara la vulnerabilidad regreSSHion, se podría producir una usurpación total del sistema. Los atacantes podrían usar el sistema comprometido para atacar otros sistemas vulnerables en la empresa, sorteando los mecanismos de seguridad críticos.
El alcance del impacto, junto con la disponibilidad generalizada de OpenSSH crean las condiciones para que esto sea un problema a nivel mundial. Según estimaciones de Qualys, hay más de 14 millones de instancias de servidor de OpenSSH vulnerables en Internet. Además, calcula que aproximadamente 700 000 instancias externas conectadas a Internet son también vulnerables.
No es una cifra nada desdeñable. Por lo tanto, ha llegado el momento de aplicar los parches y así podremos todos concentrarnos en el próximo reto para la seguridad. Pero alto ahí, no es tan simple.
Aplicar los parches lleva tiempo y, mientras tanto, los atacantes aprovechan para sortear los controles de seguridad
Hasta los mejores equipos de TI dedican una gran cantidad de tiempo a corregir las vulnerabilidades, en algunos casos, meses, años o incluso más. Esta exposición prolongada plantea un serio problema. Al igual que los investigadores de seguridad, los ciberdelincuentes pueden analizar Internet para buscar sistemas vulnerables.
¿Cómo pueden las empresas protegerse en la fase anterior a los parches? ¿Deben utilizar supervisión basada en registros, firewalls o sistemas de seguridad EDR o XDR basados en agentes, para detectar y detener las intrusiones?
Estas medidas de seguridad no bastan. No hay que olvidar que regreSSHion ofrece a los ciberdelincuentes privilegios raíz en el host infectado. Esto significa que probablemente puedan desactivar o evitar los controles de seguridad que funcionan en el host o a través de él. Este es un fallo de seguridad fundamental de los controles, ya que los ciberdelincuentes que han conseguido privilegios administrativos pueden verlos y manipularlos.
Los sistemas de seguridad ITDR, incluidas las detecciones basadas en engaños, ofrecen una defensa en profundidad
Entonces, ¿qué puede hacer su empresa durante los períodos de vulnerabilidad entre el anuncio de la vulnerabilidad (CVE), como regreSSHion, y el momento en el que sus equipos de TI encuentran y corrigen los sistemas vulnerables? Porque es durante este período crítico cuando los atacantes conocen la existencia de la vulnerabilidad y pueden aprovecharla. Aquí entran en juego las soluciones ITDR, en general, y los controles de seguridad basados en engaños, en particular, y ambos pueden marcar una enorme diferencia.
Los sistemas de detección basados en firmas o en comportamientos requieren telemetría para detectar la presencia de un ciberdelincuente. Además, deben estar activos para recopilar los datos y ejecutar los análisis. Sin embargo, como se ha mencionado, una vez que tienen privilegios administrativos raíz, en muchos casos los atacantes pueden simplemente desactivar o sortear estos sistemas.
Los engaños funcionan de forma diferente. Las herramientas como Proofpoint Shadow pueden desplegar en toda la empresa recursos que parecen auténticos, como archivos, cuentas y servicios. Estos recursos sirven como engaños para los ciberdelincuentes que desean usarlos para desplazarse lateralmente y escalar privilegios. Cuando lo intentan, se activa una alerta de detección silenciosa y se envían datos forenses al equipo de respuesta a incidentes.
Con los engaños, no hay nada que el ciberdelincuente pueda encontrar ni desactivar. No hay ningún agente que se ejecute de forma local. Y no hay necesidad de recopilar archivos de registro y analizarlos para detectar la presencia de un ciberdelincuente. Un ciberdelincuente no es capaz de distinguir entre los recursos reales y los falsos en un determinado host sin intentar utilizarlos antes. Y cuando lo hace para intentar desplazarse lateralmente, saltan las alarmas.
En el caso de regreSSHion, o cualquier otra vulnerabilidad pasada, presente o futura, la detección de amenazas basada en engaños puede ser una estrategia de defensa en profundidad enormemente eficaz. Combinada con el descubrimiento y la corrección de vulnerabilidades de identidad antes de la llegada del atacante, permiten evitar que las vulnerabilidades de software provoquen graves vulneraciones de seguridad.
Más información sobre Proofpoint Identity Threat Defense
Proofpoint Shadow, un componente de Proofpoint Identity Threat Defense, crea una extensa red de datos y rutas falsos en su empresa. Ni siquiera los ciberdelincuentes más experimentados podrán distinguir lo que es real de lo que no, por lo que será prácticamente imposible que consigan llegar a sus recursos de TI críticos sin ser detectados. Descargue el resumen de la solución para obtener más información.
Para una explicación más detallada sobre cómo la solución ITDR de Proofpoint, Identity Threat Defense, proporciona defensas aún más amplias contra los ciberdelincuentes que han conseguido acceder a su organización, consulte la página de la solución Proofpoint Identity Threat Defense.