La seguridad cibernética es un campo que evoluciona constantemente, y 2023 no ha sido una excepción. Entre las amenazas más críticas que han surgido se encuentran las vulnerabilidades de Ejecución Remota de Comandos (RCE), que han sido explotadas activamente por ciberdelincuentes. En este artículo proporcionaremos una visión integral sobre las principales vulnerabilidades de RCE explotadas en 2023, ofreciendo una guía clara y sencilla para entender y protegerse contra estas amenazas.
Al analizar la estructura de un ataque de Ejecución Remota de Código (RCE), nos encontramos ante una explotación táctica de fallos de seguridad que conceden control no autorizado sobre sistemas a distancia.
Los métodos de ataque son variados, con los agresores explotando diferentes brechas para infiltrarse y controlar los sistemas. Un método común es la débil validación de datos en sitios web o aplicaciones, que abre la puerta a actividades no deseadas en el servidor y permite la ejecución de códigos arbitrarios.
Es crucial considerar los peligros de aceptar datos de usuario sin las adecuadas medidas de seguridad. En tales situaciones, los atacantes encuentran un camino fácil para inyectar código malicioso en los sistemas. Igualmente, un componente común expuesto a Internet o no actualizado, a pesar de tener procesos internos de respuesta a incidentes, puede poner en riesgo a las organizaciones.
Las amenazas RCE también afectan funciones críticas como la autenticación y gestión de sesiones. Al aprovechar las debilidades en estas áreas, los atacantes pueden acceder a información sensible como contraseñas o claves. La falta de controles de validación eficientes para las entradas de usuario se convierte en un terreno fértil para la ejecución de código malintencionado en el sistema objetivo. Los atacantes utilizan la generación dinámica de código para convertir entradas inofensivas en código ejecutable, lo que les permite lanzar ataques devastadores contra aplicaciones específicas.
Conoce más sobre: Comprendiendo los Ataques de Remote Code Execution (RCE)
En 2023, varias vulnerabilidades de RCE han cobrado protagonismo debido a su amplia explotación por parte de actores maliciosos. Estas incluyen:
En 2023, la vulnerabilidad CVE-2023-26360 en Adobe ColdFusion, calificada con un CVSS de 9.8, marcó un punto crítico en ciberseguridad. Esta falla, originada por un problema de deserialización de datos no seguros, permitió la ejecución de código remoto.
La CISA alertó en diciembre de 2023 sobre su explotación por actores no identificados en una agencia del Poder Ejecutivo Civil Federal, con registros indicando un compromiso de los sistemas desde junio a julio de 2023. A pesar de que los atacantes establecieron un control significativo en la red de la agencia, no se evidenció exfiltración de datos ni movimiento lateral, limitando el impacto al compromiso inicial.
En 2023, la vulnerabilidad CVE-2023-3519, con un alto CVSS de 9.8, impactó significativamente a Citrix NetScaler ADC y NetScaler Gateway. Esta falla de inyección de código permitió la ejecución remota de código sin autenticación, privilegios o interacción del usuario, presentando un riesgo considerable.
La gravedad de CVE-2023-3519 se hizo evidente con la aparición de pruebas de concepto (PoC) solo dos semanas después de su identificación, el 19 de julio de 2023. Además, antes del anuncio oficial de Citrix el 18 de julio, hubo informes en la web oscura sobre la venta de un exploit dirigido a esta vulnerabilidad.
El grupo de hackers FIN8 fue identificado a finales de agosto de 2023 como responsable de explotar activamente CVE-2023-3519, con ataques que mostraban patrones similares a campañas de ransomware previas de FIN8.
En octubre de 2023, IBM X-Force reveló una campaña de robo de credenciales iniciada en septiembre, dirigida a instancias vulnerables de Citrix NetScaler Gateway. Los atacantes, que registraron múltiples dominios en agosto y usaron Cloudflare para ocultar su ubicación, afectaron unas 600 direcciones IP únicas. Según IBM, esta campaña probablemente comenzó el 4 de agosto, con infecciones detectadas desde el 11 de agosto.
Te podrá interesar leer: Alerta de seguridad: Nuevos Zero-Days en Citrix NetScaler
CVE-2023-36884, identificada inicialmente en el boletín de seguridad de Microsoft de julio de 2023, se consideró al principio como una vulnerabilidad de ejecución remota de código. Sin embargo, en un giro interesante durante la actualización de seguridad de Microsoft en agosto de 2023, esta vulnerabilidad se reclasificó como una omisión de una característica de seguridad. Su complejidad involucró la explotación de Microsoft Office y sus mecanismos de protección.
Específicamente, esta vulnerabilidad crítica afectó a la función de búsqueda de Microsoft Windows y surgió de una falla no detallada que permitía a un atacante sortear las defensas de la Marca de la Web (MOTW) mediante un documento de Microsoft Office especialmente elaborado. Esto abrió un camino para la ejecución remota de código, representando un riesgo significativo para la seguridad del sistema.
CVE-2023-36884 fue explotada activamente en la distribución del malware RomCom.
CVE-2023-24489, una vulnerabilidad crítica con una puntuación de 9.8 en la escala CVSS, afectó a ShareFile en Citrix Content Collaboration. Esta vulnerabilidad estaba relacionada con una falla criptográfica en el Storage Zones Controller de ShareFile, permitiendo a los atacantes cargar archivos no autorizados y ejecutar código de manera remota. Fue detectada inicialmente en agosto de 2023 por Greynoise, que observó intentos de explotación activa.
Posteriormente, a mediados de agosto, la CISA incluyó a CVE-2023-24489 en su lista de Vulnerabilidades Explotadas Conocidas, señalando un aumento en los ataques y el uso de esta vulnerabilidad en el robo de datos. Tras la alerta de CISA, se intensificaron los intentos de explotación, impulsados por la rápida creación y distribución de exploits por parte de actores maliciosos y la comunidad investigadora.
Te podrá interesar leer: Identificando vulnerabilidades: El poder de las CVE
CVE-2023-0669 es una vulnerabilidad crítica de ejecución remota de código en Fortra GoAnywhere MFT, detectada primero el 18 de enero y anunciada oficialmente el 1 de febrero de 2023. Esta vulnerabilidad, localizada en el componente Servlet de respuesta de licencia, permite a los atacantes ejecutar código a través de la deserialización de objetos controlados. Su explotación requiere acceso a la consola administrativa, generalmente restringida a redes internas empresariales.
A pesar de esta limitación, ha habido intentos activos de explotación, especialmente en ataques de ransomware. Grupos como LockBit, Cl0p y BlackCat (ALPHV) han utilizado esta vulnerabilidad, contribuyendo a un aumento del 91% en ataques de ransomware en un mes. El Centro de Coordinación de Ciberseguridad del Departamento de Salud y Servicios Humanos de EE. UU. también emitió una alerta sobre su uso en el sector sanitario.
Conoce más sobre: GoAnywhere MFT: Brecha Crítica ¿Puerta a Ransomware?
CVE-2023-37450 representa una vulnerabilidad de día cero en dispositivos Apple, localizada en su motor WebKit, que es fundamental para los navegadores web de Apple. Esta falla de seguridad permite que los atacantes ejecuten código arbitrario en dispositivos objetivo, usualmente engañando a los usuarios para que visiten sitios web malintencionados.
Esta vulnerabilidad es parte de una serie de problemas de seguridad asociados con el motor WebKit de Apple, incluyendo una variedad de fallos como confusión de tipos, lecturas fuera de límites, uso después de liberar y escrituras fuera de límites. Todas estas contribuyen a la lista de vulnerabilidades más explotadas en 2023 que resultan en ejecución remota de código (RCE). Las vulnerabilidades asociadas se identifican con los siguientes códigos CVE: CVE-2023-23529, CVE-2023-28204, CVE-2023-28205 y CVE-2023-28206.
Es crucial reconocer el alto valor atribuido a las vulnerabilidades de día cero de Apple en el mercado. Estas fallas son altamente codiciadas tanto por atacantes como por investigadores, lo que se refleja en los programas de recompensas que ofrecen premios que varían desde 2.500 hasta 2.500.000 dólares.
Podría interesarte: ¿Tu software está al día?: Importancia de los Parches
Las series de firewalls Zyxel, incluyendo los modelos ATP, USG FLEX, USG FLEX 50(W), USG20(W)-VPN, VPN y ZyWALL/USG, se vieron comprometidas por vulnerabilidades críticas, identificadas como CVE-2023-33009 y CVE-2023-33010.
Estas falencias se caracterizaron por problemas de desbordamiento de búfer, afectando a la función de notificación y al procesamiento de ID, respectivamente. Estas vulnerabilidades permitían a atacantes no autenticados provocar denegaciones de servicio (DoS) y ejecutar código de manera remota en los dispositivos firewall de Zyxel.
CVE-2023-33009 y CVE-2023-33010 fueron objeto de explotación activa, lo que llevó a su inclusión en la lista de vulnerabilidades explotadas conocidas (KEV) de CISA en junio de 2023.
Además, otra vulnerabilidad en Zyxel, CVE-2023-28771, que permitía la inyección remota de comandos no autenticados, también fue explotada activamente en ataques de botnet. Dado su amplio uso, los firewalls Zyxel se han convertido en blancos atractivos para los actores de amenazas, de manera similar a lo sucedido con los firewalls FortiGate.
Las vulnerabilidades de Ejecución Remota de Comandos representan un riesgo significativo para individuos y organizaciones. Comprender estas amenazas y tomar medidas proactivas para mitigarlas es esencial en el panorama de seguridad cibernética actual. La adopción de prácticas de seguridad sólidas y la vigilancia continua son clave para protegerse contra estas vulnerabilidades cada vez más sofisticadas y potencialmente devastadoras.