INVESTIGACIÓN 46 PUNTOS DE FISURA UTILIZADOS PARA CIBERATACAR: VULNERABILIDADES Una vulnerabilidad (correlacionable con vector de ciberataque) es un fallo, error, bug, flaw, debilidad, deficiencia, incompetencia, lentitud, vagancia, confianza (se debe implementar tecnología de confianza cero o ZT), fisura, etc., existente en cualquier activo o entidad: firmware, hardware, software, personas, organizaciones, datos, APPs, APIs, sistemas, protocolos, estrategias de seguridad vial, reglas, infraestructuras, vehículos conectados/autónomos, satélites, etc., que facilitan a las entidades ofensivas (por ejemplo, a los ciberatacantes, personas, malware ofensivo, robots con IA, etc.) posibilitar la entrada, progresar, infectar, subsistir y ciberatacar. Una superficie de ciberataque es un área de debilidades-vulnerabilidades de una organización-corporación que posibilitan ciberataques. Existen muchos tipos de vulnerabilidades: de implementación, de diseño, de configuración, de operación, de algoritmos defectuosos, de gestión deficiente de claves criptográficas/contraseñas, de gestión defectuosa de memoria (buffer stack/head), vulnerabilidades locales (como argumentos de línea de comando, variables de entorno, leer datos de un fichero, leer datos de pipes o memoria compartida, etc.), vulnerabilidades remotas (como leer datos de un socket), etc. Hay vulnerabilidades: que vienen del lado del cliente, del lado del servidor, del lado del software/firmware/ hardware, del lado de la aplicación/ APP-API, pero a veces otras arrancan en la infraestructura empezando con todos los datos/activos que la persona/ máquina expone a Internet (por ejemplo, compartiendo), de este modo se pueden revelar áreas débiles de tu organización, de tus servicios APPs y pueden ayudar a detectar servicios operativos, puertos abiertos, certificados SSL, subdominios y dominios asociados, etc. Algunos vectores de ciberataque son: los ficheros, correos electrónicos, mensajería instantánea, SMSs, URLs, códigos QR maliciosos, links-botonesiconos-aspas en pop-ups, maliciosas, etc. Existen diversas bases de datos públicas y privadas de vulnerabilidades, algunos ejemplos son: CVE/ Mitre, plataformas y bases de datos de recompensa por vulnerabilidades (como HackerOne, Epicbounties, etc.). Ejemplos concretos de vulnerabilidades son: CVE-2021-44228 (del 9-12-2021) es una vulnerabilidad RCE (Remote Code Execution) sin autenticarse que afecta al package Log4j (Java logging) (por ejemplo, encontrado en el Log4j logging framework de Apache implementado enmuchas aplicaciones Java en servidores, appliances y clientes), lo utilizanmuchas aplicaciones populares y servicios Web, permite al malware un control total del servidor afectado. La vulnerabilidad CVE-2022-0609 afecta al navegador Web Chrome de Google. La vulnerabilidad CVE-2021-26855 (o Proxy-Logon) es una vulnerabilidad en el software del servidor de correo electrónico Exchange Microsoft que permite a un malware no autenticado instalar ficheros en los servidores Exchange. La vulnerabilidad CVE2021-33739 posibilita la elevación de privilegios de la biblioteca principal de Microsoft DWM. La vulnerabilidad CVE-2021-31955 posibilita la divulgación de información del kernel deWindows. La vulnerabilidad CVE-2021-33742 posibilita la ejecución remota de código de la plataforma Windows MSHTML. La vulnerabilidad CVE-2020-0787 especifica que el servicio Windows BITS (Background Intelligent Transfer Service) es vulnerable a la vulnerabilidad de elevación de privilegios si maneja impropiamente links simbólicos. Un malware puede explotar esta vulnerabilidad para ejecutar código arbitrario con privilegios de nivel de sistema. La vulnerabilidad CVE-2019-11510 en la empresa Pulse permite la lectura arbitraria de ficheros. La vulnerabilidad CVE-2017-11882 afecta al Microsoft Office y permite la RCE (Remote Code Execution). ‘Heartbleed 101 bug’ es una vulnerabilidad en la librería de software criptográfico OpenSSL que permite robar información protegida bajo condiciones normales a través del cifrado. La vulnerabilidad ‘ROCA’ (Return Of Coppersmith's Attack) causada por una implementación defectuosa del módulo-algoritmo de generación de clave en el algoritmo criptográfico RSA. Algunas vulnerabilidades software son: stack overflow, heap overflow (char*buf=malloc(100); strcpy(buf, argv[1];), double free (free(buf); free(buf);), format string (printf(argv[1];), off-byone (int vectors[100]; for (i=0; i<=100; i++) vector[i]=x;), etc., Así mismo: problemas de validación de entradas, buffer-overflow, integer overflows,
RkJQdWJsaXNoZXIy Njg1MjYx