Fruto del análisis de varios CERTs se ha publicado una lista
que pretende alertar de las 30 vulnerabilidades más empleadas en la gran
mayoría de los ataques.
La lista publicada por el US-CERT está basada en un análisis completado por el Canadian Cyber Incident Response Centre (CCIRC, Centro Canadiense de Respuesta a Ciberincidentes) y desarrollado en colaboración con otros CERTs de Canadá, Nueva Zelanda, Reino Unido y el Centro de Ciberseguridad de Australia.
El desarrollo de esta
lista viene del hecho de que más del 85 por ciento de los ataques contra
infraestructuras críticas podrían evitarse mediante el uso de estrategias
adecuadas como el bloqueo de software malicioso, restringir los privilegios
administrativos y parchear aplicaciones y sistemas operativos. La alerta
publicada ofrece la información de las 30 vulnerabilidades más empleadas en
estos ataques, para todas ellas existen parches y actualizaciones que evitarían
cualquier problema.
Recursos afectados
Las vulnerabilidades
afectan a software de Adobe, Microsoft, Oracle (Java) y OpenSSL:
- Sorprende encontrar entre la lista una vulnerabilidad de incluso hace 10 años, como un problema en Internet Explorer en la interpretación de caracteres ASCII extendido (CVE-2006-3227). Aunque no deja de ser preocupante que la gran mayoría de las vulnerabilidades descritas tienen más de tres años de antigüedad.
- Es el software de Microsoft el que abarca la mayor parte del listado, con 16 vulnerabilidades, los problemas se centran principalmente en el navegador Internet Explorer y Office. Por otra parte, tampoco sorprende descubrir 11 vulnerabilidades en productos Adobe principalmente en Reader y Acrobat.
- Por último dos vulnerabilidades en Java y una en OpenSSL, la conocida como Heartbleed.
Lista de vulnerabilidades:
- Microsoft:
CVE-2006-3227, CVE-2008-2244, CVE-2009-3129, CVE-2009-3674, CVE-2010-0806,
CVE-2010-3333, CVE-2011-0101, CVE-2012-0158, CVE-2012-1856, CVE-2012-4792,
CVE-2013-0074, CVE-2013-1347, CVE-2014-0322, CVE-2014-1761, CVE-2014-1776
y CVE-2014-4114
- Adobe:
CVE-2009-3953, CVE-2010-0188, CVE-2010-2883, CVE-2011-0611, CVE-2011-2462,
CVE-2013-0625, CVE-2013-0632, CVE-2013-2729, CVE-2013-3336, CVE-2013-5326
y CVE-2014-0564
- Oracle
(Java): CVE-2012-1723 y CVE-2013-2465
- OpenSSL:
CVE-2014-0160
Más información:
- Alert (TA15-119A). Top 30 Targeted High Risk
Vulnerabilities. https://www.us-cert.gov/ncas/alerts/TA15-119A
- una-al-dia (08/04/2014) OpenSSL afectada por
una vulnerabilidad apodada Heartbleed
- http://unaaldia.hispasec.com/2014/04/openssl-afectada-por-una-vulnerabilidad.html
- una-al-dia (06/08/2012) Si no actualizas
Java, estás infectado http://unaaldia.hispasec.com/2012/08/si-no-actualizas-java-estas-infectado.html