Gabriel Franco
Escrito por Gabriel Franco el 05 marzo, 2021

Ciberseguridad: vulnerabilidades, amenazas y riesgos a prever en 2021

Cuando hablamos de ciberseguridad, es imposible no mencionar las vulnerabilidades, amenazas y riesgos a los que estamos expuestos hoy en día, y es que, los atacantes evolucionan y se reinventan utilizando cada vez métodos más avanzados para encontrar vulnerabilidades que puedan explotar en nuestras organizaciones. Es por esto, que los desarrolladores se encuentran trabajando en generar nuevos métodos de protección contra estos ataques.

<<< Amenazas de ciberseguridad más comunes en Latinoamérica >>>

Sin embargo, el conocimiento y conciencia de la presencia de estas vulnerabilidades es el primer paso para proteger tu organización, por esto, hemos recopilado algunas de las vulnerabilidades que debes prevenir en este 2021.

Vulnerabilidades críticas para servidores Windows:

El equipo de Microsoft género un comunicado sobre 3 vulnerabilidades críticas descubiertas, que afectan específicamente a los servidores Microsoft y son:

      • CVE-2021-24074: Este CVE aplica para el protocolo IPV4, en el cual el atacante aprovecha el source routing para realizar una ejecución de código remota, a través de esta el atacante podría instalar programas, ver, cambiar o borrar información, así como crear nuevas cuentas dentro del servidor. Esto constituye un control del equipo y un primer paso para pasar a una etapa de movimiento lateral dentro de nuestra organización. Dicho CVE puede remediarse realizando las siguientes recomendaciones a nivel de ciberseguridad:
        • Bloquear las conexiones de Source Routing, loose source routing y malformed IPv4 en el zone protection del Firewall, en la zona donde están publicados estos servidores de cara a internet.
        • Mantener actualizado de manera periódica los servidores. De igual manera el utilizar un servidor centralizado para desplegar las actualizaciones de manera periódica, convierte esta tarea en una que puede ser automatizada y de esta manera garantizar que todos los equipos se encuentren correctamente actualizados. 
        • Aquí puedes encontrar recomendaciones adicionales brindadas por Microsoft
      • CVE-2021-24094: A través de la presente vulnerabilidad, el atacante se aprovecha de una falla en el protocolo TCP/IP, específicamente a través IPV6 que usan Link-Local address, para poder ejecutar código arbitrariamente en el sistema. Esto es posible al enviar una solicitud especialmente diseñada que permite al atacante poder realizar un escalamiento de privilegios en el equipo. El presente CVE puede remediarse siguientes las siguientes recomendaciones:
        • El equipo de Microsoft nos comparte el proceso para poder realizar el parchado de dicha vulnerabilidad.
      • CVE-2021-24086: Esta vulnerabilidad se basa en la capacidad de un atacante de poder generar un DoS a los servidores de Windows, el cual se genera a través de los sistemas IPV6 que utilizan Link-Local address. Dicho CVE se puede solventar realizando la siguiente configuración:
        • Es necesario que los equipos tengan las últimas actualizaciones de Windows con sus respectivos parches para poder mitigar de manera eficiente este tipo de vulnerabilidades, especialmente aquellos equipos que se encuentran expuestos a internet.
        • Seguir las recomendaciones de Microsoft y la  guía de parcheo para la vulnerabilidad.

Acciones correctivas a nivel de Firewall

Como medidas a tomar a nivel de los firewalls, en relación a los CVE-2021-24074, CVE-2021-24094 y CVE-2021-24086. A nivel del fabricante Palo Alto Networks, se recomienda habilitar packet drop en Zone Protection para descartar paquetes con opciones de enrutamiento de origen incorrecto, estricto y loose debido a que estas opciones permiten a los atacantes eludir las reglas de la política de seguridad que utilizan la dirección IP de destino como criterio de coincidencia.


Imagen 1. Configuración recomendada a nivel de Zone Protection en equipos Palo Alto Networks

Observación Importante

Las acciones  recomendadas anteriormente para mitigar estas vulnerabilidades pueden llegar a generar un impacto en el tráfico legítimo hacia sus servidores Windows. Por lo que se recomienda que este cambio sea evaluado antes de ser realizado dentro de los servidores o en el Firewall, por ejemplo Source Routing de IPv4 está categorizado como inseguro y en los equipos de Windows por defecto debe de estar activado, sin embargo puede haber tráfico legítimo que esté usando este método inseguro para realizar conexiones con el servidor.

Para la vulnerabilidad de DoS en IPv6 cabe destacar que todos los paquetes que estén out-of-order van a ser denegados, en donde puede caer tráfico legítimo, que puede afectar negativamente los servicios con dependencia de IPv6.

Es altamente recomendado que estos cambios sean realizados en ventanas de mantenimiento y después de un proceso de control de cambios. La decisión de aplicar estos cambios se debe realizar desde  el área de seguridad informática e información de su organización.

Vulnerabilidades relacionadas a OpenSSL

En el presente año se han detectado múltiples vulnerabilidades relacionadas a OpenSSL v1.0.2., entre las cuales se encuentran las siguientes:

      • CVE-2021-23841: Esta vulnerabilidad está asociada a un problema con NULL pointer dereference que puede ser explotado para realizar un crash y accionar un DoS en los equipos. Esto se logra usando un malformed issuer en los certificados externos X509.
      • CVE-2021-23840: se aprovecha de un bug de los procesos EVP_CipherUpdate, EVP_EncryptUpdate y EVP_DecryptUpdate que permite realizar buffer overflow, lo que ocasiona que la aplicación funcione incorrectamente produciendo un crash.
      • CVE-2021-23839: A partir de esta vulnerabilidad se aprovechan de todas las brechas que puede representar SSLv2, por lo que si la aplicación acepta ciphers mayores a SSLv2 únicamente, no se considera vulnerable.La vulnerabilidad consiste en aprovechar los padding (rellenos) del RSA signatures que se pueden permitir en las versiones anteriores a la SSLv2, realizando un rollback attack.

Acciones Correctivas

Para mitigar las vulnerabilidades CVE-2021-23841, CVE-2021-23840 y CVE-2021-23839, se recomienda realizar la actualización del aplicativo OpenSSL a la versión 1.1.1j.

Como podemos observar, es de vital importancia mantener la totalidad de nuestros equipos bajo directrices de actualización  de manera periódica. De manera que al momento de ser detectada alguna vulnerabilidad y sea lanzado un parche por los fabricantes, podamos tener acceso a este lo más pronto posible y disminuir así el riesgo. De igual manera, es importante poder evaluar los cambios que deben ser realizados de manera manual en los equipos y la afectación que estos pueden presentar, todo esto con el fin de afectar lo menos posible la productividad de los servicios otorgados por nuestra organización. 

Nueva llamada a la acción

Escrito por Gabriel Franco 5 marzo, 2021
Gabriel Franco