La seguridad cibernética es un campo que evoluciona constantemente, y 2023 no ha sido una excepción. Entre las amenazas más críticas que han surgido se encuentran las vulnerabilidades de Ejecución Remota de Comandos (RCE), que han sido explotadas activamente por ciberdelincuentes. En este artículo proporcionaremos una visión integral sobre las principales vulnerabilidades de RCE explotadas en 2023, ofreciendo una guía clara y sencilla para entender y protegerse contra estas amenazas.
Mecanismo de Ataques de Ejecución Remota de Código (RCE): Una Perspectiva Detallada
Al analizar la estructura de un ataque de Ejecución Remota de Código (RCE), nos encontramos ante una explotación táctica de fallos de seguridad que conceden control no autorizado sobre sistemas a distancia.
Los métodos de ataque son variados, con los agresores explotando diferentes brechas para infiltrarse y controlar los sistemas. Un método común es la débil validación de datos en sitios web o aplicaciones, que abre la puerta a actividades no deseadas en el servidor y permite la ejecución de códigos arbitrarios.
Es crucial considerar los peligros de aceptar datos de usuario sin las adecuadas medidas de seguridad. En tales situaciones, los atacantes encuentran un camino fácil para inyectar código malicioso en los sistemas. Igualmente, un componente común expuesto a Internet o no actualizado, a pesar de tener procesos internos de respuesta a incidentes, puede poner en riesgo a las organizaciones.
Las amenazas RCE comprometen funciones críticas como la autenticación y gestión de sesiones. Si los controles de validación de entradas de usuario son deficientes, los atacantes pueden acceder a datos sensibles y ejecutar código malicioso aprovechando la generación dinámica de código, afectando así aplicaciones específicas.
Conoce más sobre: Comprendiendo los Ataques de Remote Code Execution (RCE)
Las Principales Vulnerabilidades RCE de 2023
En 2023, varias vulnerabilidades de RCE han cobrado protagonismo debido a su amplia explotación por parte de actores maliciosos. Estas incluyen:
1. CVE-2023-26360 en Adobe ColdFusion: Un Golpe en la Ciberseguridad de 2023 (CVSS: 9.8)
En 2023, la vulnerabilidad CVE-2023-26360 en Adobe ColdFusion, calificada con un CVSS de 9.8, marcó un punto crítico en ciberseguridad. Esta falla, originada por un problema de deserialización de datos no seguros, permitió la ejecución de código remoto.
La CISA alertó en diciembre de 2023 sobre su explotación por actores no identificados en una agencia del Poder Ejecutivo Civil Federal, con registros indicando un compromiso de los sistemas desde junio a julio de 2023. A pesar de que los atacantes establecieron un control significativo en la red de la agencia, no se evidenció exfiltración de datos ni movimiento lateral, limitando el impacto al compromiso inicial.
2. CVE-2023-3519 (CVSS: 9.8) en Citrix NetScaler ADC y NetScaler Gateway
En 2023, la vulnerabilidad CVE-2023-3519 (CVSS: 9.8) impactó gravemente a Citrix NetScaler ADC y Gateway, permitiendo ejecución remota de código sin autenticación. Pruebas de concepto y exploits circularon rápidamente, y el Grupo FIN8 la explotó activamente en ataques tipo ransomware.
En septiembre, IBM X-Force identificó una campaña que robó credenciales de más de 600 instancias vulnerables, destacando el alcance y sofisticación de las amenazas asociadas a esta falla.
Te podrá interesar leer: Alerta de seguridad: Nuevos Zero-Days en Citrix NetScaler
3. CVE-2023-36884 (CVSS: 8.8) Afectando a Microsoft Windows
CVE-2023-36884, inicialmente reportada en el boletín de Microsoft de julio de 2023 como vulnerabilidad de ejecución remota de código, fue reclasificada en agosto como una omisión de característica de seguridad debido a su compleja explotación a través de Microsoft Office y sus mecanismos de protección.
Esta vulnerabilidad crítica en la función de búsqueda de Microsoft Windows permitía a los atacantes evadir la protección de Marca de la Web (MOTW) usando documentos de Office manipulados, facilitando la ejecución remota de código y creando un riesgo considerable para la seguridad del sistema.
CVE-2023-36884 fue explotada activamente en la distribución del malware RomCom.
4. CVE-2023-24489 (CVSS: 9.8) en la Colaboración de Contenido de Citrix
Esta vulnerabilidad crítica en la función de búsqueda de Microsoft Windows permitía a los atacantes evadir la protección de Marca de la Web (MOTW) usando documentos de Office manipulados, facilitando la ejecución remota de código y creando un riesgo considerable para la seguridad del sistema.
A mediados de agosto, la CISA añadió CVE-2023-24489 a su lista de Vulnerabilidades Explotadas Conocidas, destacando el aumento de ataques y robos de datos mediante su explotación. Tras la alerta, los intentos de explotación se intensificaron debido a la rápida publicación de exploits por parte de actores maliciosos y la comunidad investigadora.
Te podrá interesar leer: Identificando vulnerabilidades: El poder de las CVE
5. CVE-2023-0669 (CVSS: 7.2) en Fortra GoAnywhere MFT
Tras su inclusión en la lista de Vulnerabilidades Explotadas Conocidas (KEV) por parte de CISA a mediados de agosto, se registró un incremento en los ataques y robo de datos mediante CVE-2023-24489. La rápida divulgación de exploits por actores maliciosos y la comunidad investigadora potenció los intentos de explotación tras la alerta.
Aunque el impacto quedó restringido al compromiso inicial, se detectaron intentos de explotación, especialmente por parte de grupos de ransomware como LockBit, Cl0p y BlackCat (ALPHV). Esto provocó un aumento del 91% en los ataques de ransomware en solo un mes y motivó una alerta del Centro de Coordinación de Ciberseguridad de EE. UU. respecto a su explotación en el sector salud.
Conoce más sobre: GoAnywhere MFT: Brecha Crítica ¿Puerta a Ransomware?
6. CVE-2023-37450 (CVSS: 8.8) en Apple
CVE-2023-37450 representa una vulnerabilidad de día cero en dispositivos Apple, localizada en su motor WebKit, que es fundamental para los navegadores web de Apple. Esta falla de seguridad permite que los atacantes ejecuten código arbitrario en dispositivos objetivo, usualmente engañando a los usuarios para que visiten sitios web malintencionados.
Esta vulnerabilidad forma parte de una serie de fallos críticos en el motor WebKit de Apple, como confusión de tipos, lecturas o escrituras fuera de límites y uso después de liberar memoria.
Estos problemas permitieron la ejecución remota de código y figuran entre las vulnerabilidades más explotadas de 2023, identificadas por los códigos CVE-2023-23529, CVE-2023-28204, CVE-2023-28205 y CVE-2023-28206.
Es crucial reconocer el alto valor atribuido a las vulnerabilidades de día cero de Apple en el mercado. Estas fallas son altamente codiciadas tanto por atacantes como por investigadores, lo que se refleja en los programas de recompensas que ofrecen premios que varían desde 2.500 hasta 2.500.000 dólares.
Podría interesarte: ¿Tu software está al día?: Importancia de los Parches
7. CVE-2023-33009 y CVE-2023-33010 (CVSS: 9.8) en Zyxel
Las series de firewalls Zyxel, incluyendo los modelos ATP, USG FLEX, USG FLEX 50(W), USG20(W)-VPN, VPN y ZyWALL/USG, se vieron comprometidas por vulnerabilidades críticas, identificadas como CVE-2023-33009 y CVE-2023-33010.
Estas falencias se caracterizaron por problemas de desbordamiento de búfer, afectando a la función de notificación y al procesamiento de ID, respectivamente. Estas vulnerabilidades permitían a atacantes no autenticados provocar denegaciones de servicio (DoS) y ejecutar código de manera remota en los dispositivos firewall de Zyxel.
CVE-2023-33009 y CVE-2023-33010 fueron objeto de explotación activa, lo que llevó a su inclusión en la lista de vulnerabilidades explotadas conocidas (KEV) de CISA en junio de 2023.
Además, otra vulnerabilidad en Zyxel, CVE-2023-28771, que permitía la inyección remota de comandos no autenticados, también fue explotada activamente en ataques de botnet. Dado su amplio uso, los firewalls Zyxel se han convertido en blancos atractivos para los actores de amenazas, de manera similar a lo sucedido con los firewalls FortiGate.
Conclusión
Las vulnerabilidades de Ejecución Remota de Comandos suponen un riesgo importante para usuarios y organizaciones. Identificar y mitigar estas amenazas es fundamental en el entorno actual. Adoptar prácticas de seguridad robustas y mantener una vigilancia constante es clave para enfrentar estos riesgos cada vez más sofisticados.