Un error de seguretat crític de fa quatre anys que afectava a Fortinet FortiOS SSL s’ha convertit en una de les vulnerabilitats més explotades de manera rutinària i freqüent al llarg del 2022.

L’any 2022, els actors cibernètics maliciosos varen explotar vulnerabilitats de programari més antigues amb més freqüència que les vulnerabilitats recentment revelades i es van dirigir a sistemes sense actualitzacions, orientats a Internet, segons van dir en una alerta conjunta les agències de ciberseguretat i intel·ligència de les nacions dels Cinc Ulls, que comprèn Austràlia, el Canadà, Nova Zelanda, el Regne Unit i els Estats Units.

La contínua militarització de CVE-2018-13379, que també va ser un dels errors més explotats en 2020 i 2021, suggereix un fracàs per part de les organitzacions per aplicar actualitzacions de manera oportuna, segons van dir les autoritats.

Els actors cibernètics maliciosos probablement prioritzen el desenvolupament d’exploits per CVE greus i globalment prevalents. Si bé els actors sofisticats també desenvolupen eines per poder explotar altres vulnerabilitats, el desenvolupament d’exploits per vulnerabilitats crítiques, àmpliament difoses i públicament conegudes brinda als actors eines de baix cost i alt impacte que poden usar durant diversos anys.

CVE-2018-13379 es refereix a un defecte de path traversal al portal web FortiOS SSL VPN que podria permetre a un atacant no autenticat descarregar arxius del sistema FortiOS a través de sol·licituds de recursos HTTP especialment dissenyades.

Altres errors àmpliament explotats són:

• CVE-2021-34473, CVE-2021-31207 i CVE-2021-34523 (ProxyShell)
• CVE-2021-40539 (Execució remota de codi sense autenticació en Zoho ManageEngine ADSelfService Plus)
• CVE-2021-26084 (Execució remota de codi sense autenticació en Atlassian Confluence Server i Data Center)
• CVE-2021-44228 (Log4Shell)
• CVE-2022-22954 (Execució remota de codi en VMware Workspace ONE Access and Identity Manager)
• CVE-2022-22960 (Vulnerabilitat d’escalada de privilegis local a VMware Workspace ONE Access, Identity Manager i vRealize Automation)
• CVE-2022-1388 (Execució remota de codi sense autenticació en F5 BIG-IP)CVE-2022-30190 (Follina)
• CVE-2022-26134 (Execució remota de codi sense autenticació en Atlassian Confluence Server i Data Center)

Els atacants solen tenir més èxit explotant vulnerabilitats conegudes en els dos primers anys de la seva divulgació pública i probablement orienten els seus atacs per maximitzar l’impacte, la qual cosa posa en relleu els avantatges que les organitzacions apliquin ràpidament les actualitzacions de seguretat, segons afirma el Centre Nacional de Ciberseguretat del Regne Unit (NCSC).

L’aplicació oportuna d’actualitzacions redueix l’eficàcia de les vulnerabilitats conegudes i explotables, la qual cosa possiblement disminueix el ritme de les operacions dels ciber-agents maliciosos i obligui a buscar mètodes més costosos i lents (com el desenvolupament d’exploits de dia zero o la realització d’operacions en la cadena de subministrament de programari), segons van assenyalar els organismes.