A mediados de marzo de este año, se ha producido de forma repentina un aumento en la superficie de ataque. Desde este momento, un porcentaje muy alto de las personas en el mundo están trabajando desde sus hogares, fuera de la red de la empresa e incluso desde sus equipos personales. Todos estos factores contribuyen a la exposición de los sistemas informáticos a múltiples ciberamenazas, ya que el nivel de control que tienen los equipos de IT es menor que cuando toda la plantilla está trabajando en la oficina.
Otro aspecto que aumenta de manera significativa la superficie de ataque viene provocado por las vulnerabilidades encontradas en las aplicaciones y los sistemas operativos. Un endpoint expuesto ante una o varias vulnerabilidades puede ser la puerta de entrada perfecta para que un cibercriminal penetre en tu red corporativa.
La gestión de las vulnerabilidades y sus correspondientes parches es una tarea compleja bajo circunstancias normales. Sin embargo, ahora que el teletrabajo se ha extendido tanto, está claro que, para muchas organizaciones, aplicar actualizaciones y parches críticos es más difícil que nunca.
Las últimas vulnerabilidades
La gestión de las vulnerabilidades es una tarea compleja, en parte, por la cantidad de vulnerabilidades nuevas que se descubren cada día; el año pasado se descubrieron 12.147 vulnerabilidades, un promedio de más de 33 cada día. Entre las últimas que se han descubierto este año podemos destacar las siguientes:
- CVE-2020-0609. Esta vulnerabilidad existe en el Remote Desktop Gateway (RD Gateway) de Windows. Es de ejecución remota de código y existe cuando un atacante no autenticado se conecta al sistema de la víctima a través del RDP. La vulnerabilidad no requiere ninguna interacción del usuario y si fuera explotada con éxito, el atacante podría ejecutar/inyectar código de manera arbitraria en el sistema.
Esta vulnerabilidad es particularmente crítica estos días, ya que millones de teletrabajadores están recurriendo a conexiones de escritorio remoto para trabajar desde casa. - CVE-2020-0674. Esta vulnerabilidad afecta a la manera en la que el motor de scripts maneja los objetos en la memoria de Internet Explorer. Si un atacante llega a explotar con éxito esta vulnerabilidad, podría obtener los mismos permisos que el usuario legítimo. Con estos permisos, podría instalar aplicaciones; ver, editar o borrar datos; o crear nuevas cuentas con permisos de control totales.
- CVE-2020-0604. Esta es otra vulnerabilidad de ejecución remota de código y también existe en una herramienta muy útil para el teletrabajo: Microsoft SharePoint. Si un atacante explota con éxito esta vulnerabilidad, podrá ejecutar código arbitrario en el pool de aplicación de SharePoint, además de la cuenta de la granja de servidores de SharePoint.
Vulnerabilidades bien conocidas
Además de estas recientes vulnerabilidades, los sistemas informáticos del mundo llevan enfrentándose a otras tantas vulnerabilidades conocidas desde hace mucho tiempo. Es más, estas vulnerabilidades han causado la mayor parte de los incidentes de ciberseguridad más notorios de los últimos años.
- EtenalBlue. Esta vulnerabilidad ha causado muchos problemas de ciberseguridad. Existe en el Server Message Block (SMB) de Microsoft, y supuestamente fue desarrollado por la Agencia Nacional de Seguridad (NSA) de Estados Unidos. Entre los ciberataques que han aprovechado esta vulnerabilidad son WannaCry, NotPetya y Adylkuzz. Microsoft lanzó un parche para esta vulnerabilidad dos meses antes de los ataques de WannaCry.
- CVE-2017-5638. Esta vulnerabilidad en el software Apache Struts ha causado varios incidentes. Por un lado, fue utilizado para lanzar el ransomware Cerber. Y por otro, fue la causa de la brecha de datos en Equifax, en la que se robaron los datos personales de unas 143,000,000 personas. Dos años después del incidente, los fallos de seguridad de la empresa seguían pasando factura. Existía un parche para arreglar esta vulnerabilidad dos meses antes de la brecha.
¿Por qué no se parchean estas vulnerabilidades?
Los parches, independientemente de su criticidad, suelen ser una molestia para los administradores de IT: priorizar y desplegar las actualizaciones es una tarea costosa; no solo hay muchas actualizaciones que instalar, sino que también muchas veces su instalación puede suponer invertir tiempo en reiniciar equipos y servidores, interrumpiendo el flujo de trabajo.
¿Cuál es la solución para estos problemas?
Dado que los parches son una medida tan importante y que pueden resolver muchos problemas de ciberseguridad, ¿qué se puede hacer para agilizar el proceso de aplicación/despliegue? En Panda Security, tenemos la solución para hacer simple el complejo ciclo de vida de gestión de parches de sistemas operativos y software de terceros.
Panda Patch Management no requiere nuevos agentes ni consolas de gestión, ya que está integrado en las soluciones de seguridad endpoint de Panda Security. Proporciona una visibilidad centralizada y en tiempo real de las vulnerabilidades, parches, actualizaciones pendientes, y software no soportado o en EoL. Es más, estas capacidades cubren los dispositivos tanto dentro como fuera de la red corporativa, facilitando las actualizaciones de los endpoints de los trabajadores en remoto, algo esencial en estos momentos.
Para ayudar con este proceso, hemos preparado un Whitepaper en el que explicamos el complejo ciclo de vida de la gestión de parches, desde su propósito, la identificación de los activos vulnerables, hasta el despliegue de los parches. Descarga aquí el Whitepaper.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
