Fruto del análisis de varios CERTs se ha publicado una lista que pretende alertar de las 30 vulnerabilidades más empleadas en la gran mayoría de los ataques.
La lista publicada por el US-CERT está basada en un análisis completado por el Canadian Cyber Incident Response Centre (CCIRC, Centro Canadiense de Respuesta a Ciberincidentes) y desarrollado en colaboración con otros CERTs de Canadá, Nueva Zelanda, Reino Unido y el Centro de Ciberseguridad de Australia.
El desarrollo de esta lista viene del hecho de que más del 85 por ciento de los ataques contra infraestructuras críticas podrían evitarse mediante el uso de estrategias adecuadas como el bloqueo de software malicioso, restringir los privilegios administrativos y parchear aplicaciones y sistemas operativos. La alerta publicada ofrece la información de las 30 vulnerabilidades más empleadas en estos ataques, para todas ellas existen parches y actualizaciones que evitarían cualquier problema.
Las vulnerabilidades afectan a software de Adobe, Microsoft, Oracle (Java) y OpenSSL.
Sorprende encontrar entre la lista una vulnerabilidad de incluso hace 10 años, como un problema en Internet Explorer en la interpretación de caracteres ASCII extendido (CVE-2006-3227). Aunque no deja de ser preocupante que la gran mayoría de las vulnerabilidades descritas tienen más de tres años de antigüedad.
Es el software de Microsoft el que abarca la mayor parte del listado, con 16 vulnerabilidades, los problemas se centran principalmente en el navegador Internet Explorer y Office. Por otra parte, tampoco sorprende descubrir 11 vulnerabilidades en productos Adobe principalmente en Reader y Acrobat.
Por último dos vulnerabilidades en Javay una en OpenSSL, la conocida como Heartbleed.
Lista de vulnerabilidades:
Microsoft: CVE-2006-3227, CVE-2008-2244, CVE-2009-3129, CVE-2009-3674, CVE-2010-0806, CVE-2010-3333, CVE-2011-0101, CVE-2012-0158, CVE-2012-1856, CVE-2012-4792, CVE-2013-0074, CVE-2013-1347, CVE-2014-0322, CVE-2014-1761, CVE-2014-1776y CVE-2014-4114
Adobe: CVE-2009-3953, CVE-2010-0188, CVE-2010-2883, CVE-2011-0611, CVE-2011-2462, CVE-2013-0625, CVE-2013-0632, CVE-2013-2729, CVE-2013-3336, CVE-2013-5326y CVE-2014-0564
Oracle (Java): CVE-2012-1723 y CVE-2013-2465
OpenSSL: CVE-2014-0160
Más información:
Alert (TA15-119A)
Top 30 Targeted High Risk Vulnerabilities
una-al-dia (08/04/2014) OpenSSL afectada por una vulnerabilidad apodada Heartbleed
una-al-dia (06/08/2012) Si no actualizas Java, estás infectado
Antonio Ropero
Twitter: @aropero
Deja una respuesta