Los analistas de Mandiant, propiedad de Google, informan sobre una nueva tendencia alarmante en la que los atacantes están demostrando una mayor capacidad para detectar y explotar los días0 en el software.
Según Mandiant, de las 138 vulnerabilidades que se revelaron como explotadas activamente en 2023, 97 (70,3%) fueron explotadas como nulas en ataques antes de que los proveedores afectados supieran que los errores existían o pudieran corregirlos.
De 2020 a 2022, la proporción entre n días (vulnerabilidades parcheadas) y cero días (sin parche) se mantuvo relativamente estable en 4:6, pero en 2023 la proporción cambió a 3:7.
Además, esto no se debe a una disminución en el número de días n explotados, sino a un aumento en el número de ceros explotados y a una mejora en la capacidad de los proveedores de seguridad para detectarlos.
El aumento de la actividad maliciosa y la diversificación de los productos específicos también se refleja en la cantidad de proveedores afectados por vulnerabilidades explotadas activamente, que aumentó a un récord de 56 en 2023, frente a 44 en 2022.
Otra tendencia importante fue la reducción del tiempo necesario para explotar el TTE de una vulnerabilidad recién descubierta (día n o día 0): ¡hasta cinco días!
En comparación, el TTE fue de 63 días en 2018-2019 y de 32 días en 2021-2022, lo que permitió tiempo suficiente para planificar y aplicar parches o implementar medidas de mitigación para proteger los sistemas afectados.
Sin embargo, ahora que el TTE se ha reducido a 5 días, están pasando a primer plano estrategias como la segmentación de la red, la detección en tiempo real y la priorización rápida de parches.
Debido a esto, Google ya no ve una correlación entre la divulgación de exploits y el TTE.
En 2023, el 75 % de los exploits se hicieron públicos antes de que se explotaran en el medio ambiente, y el 25 % se publicaron después de que los piratas informáticos ya habían comenzado a explotar las vulnerabilidades.
El informe proporciona dos ejemplos que demuestran la falta de correlación entre la disponibilidad de exploits y la actividad maliciosa: CVE-2023-28121 (complemento de WordPress) y CVE-2023-27997 (Fortinet FortiOS).
En el primer caso, la explotación comenzó tres meses después de la divulgación de la información y diez días después de la publicación del PoC, y en el caso de FortiOS, se utilizó casi inmediatamente en el PoC, pero el primer caso de explotación maliciosa se registró cuatro meses después.
La complejidad de la explotación, la motivación de los actores de amenazas, el valor objetivo y la sofisticación general del ataque siguen desempeñando un papel en el TTE, pero es posible que ya no se considere ninguna correlación con la disponibilidad de PoC.
S.I Stega Intelligence