Vulnerabilidades con mayor probabilidad de ser explotadas en el año 2022

Las vulnerabilidades con mayor probabilidad de ser explotadas durante el año 2022, son aquellas que han recibido un puntaje Exploit Prediction Scoring System (EPSS) de 0.95 o mayor. 

 

En la siguiente gráfica, observamos las vulnerabilidades que han tenido mayor probabilidad de ser explotadas, correspondientes a los CVEs publicados en los últimos 3 meses. 

 

Gráfica 1. CVEs más probables de estar siendo explotados y que fueron publicados en los últimos 90 días. Fuente: FIRST

 

Los top cuatro son los siguientes:

  • CVE-2022-40684 – Authentication Bypass en Fortinet FortiOS
  • CVE-2022-3218 – RCE en Mouse server de Necta LLC’s
  • CVE-2022-35914 – Módulo htmlawed para GLPI permite inyección de código PHP
  • CVE-2022-41352 – Subida arbitraria de archivos en Zimbra mediante amavisd

En la siguiente gráfica, se puede apreciar la evolución de los CVEs con la mayor probabilidad de ser explotados a lo largo del año.

Gráfica 2. Comparación de CVEs a lo largo del año de acuerdo a su puntaje EPSS.

 

La gráfica anterior nos muestra cómo el TOP 10 se mantuvo estable a lo largo del año 2022, siendo la mayoría vulnerabilidades críticas (CVSS>=9.8). Por otro lado, se puede observar cómo es altamente probable que se sigan explotando vulnerabilidades antiguas como CVE-2017-12635 (Remote Privilege Escalation en Apache CouchDB), CVE-2016-10033 (RCE en PHPMailer) y CVE-2014-6271 (Code Injection en GNU BASH).

Para la creación de la gráfica anterior, el CSIRT de LACNIC utilizó la API de EPSS del FIRST para consultar los CVEs con puntaje EPSS mayor a 0.95 para cada día del 2022. Para cada uno de estos CVE se le agregó el puntaje CVSS utilizando la API del NVD del NIST.

 

Detalles de algunos CVEs con el EPSS más alto a lo largo del 2022

A continuación detallaremos algunas vulnerabilidades críticas que tuvieron mayor posibilidad de ser explotadas durante el año 2022.

CVE-2021-40438 – SSRF en mod_proxy afecta a Apache HTTP Server

Fecha de publicación: 15 de septiembre de 2021

CVSSv3.1: 9.8 CRITICAL

CWE-918: Server-Side Request Forgery (SSRF)

Versiones vulnerables: Apache HTTP Server 2.4.48 y anteriores

Solución: Actualización del servidor

Descripción:

Vulnerabilidad de falsificación de solicitud del lado del servidor (Server Side Request Forgery – SSRF) en mod_proxy de httpd. Un atacante remoto no autenticado podría reenviar Request HTTP a un servidor arbitrario. El atacante podría ocultar su ataque a un tercero utilizando el servidor vulnerable o acceder a máquinas internas protegidas por un firewall.

Esta vulnerabilidad se mantuvo entre el primer y segundo puesto durante todo el año con la mayor probabilidad de ser explotada.

Referencia:

https://nvd.nist.gov/vuln/detail/CVE-2021-40438

CVE-2017-12635 – Escalación de privilegios en Apache CouchDB

Fecha de publicación: 18 de diciembre de 2017

CVSS score: 9.8 CRITICAL

CWE-269: Improper Privilege Management

Versiones vulnerables: Antes de 1.7.0 and 2.x antes de 2.1.1 

Solución: Actualizar sistema

Descripción:

Posibilita la escalada de privilegios en el gestor de base de datos CouchDB. Esta vulnerabilidad es debido a una discrepancia entre el analizador de formato JSON basado en Erlang y el analizador basado en JavaScript. 

Un atacante autenticado con un usuario arbitrario podría explotar esta vulnerabilidad para escalar privilegios y obtener permisos de administrador.

Referencia:

https://advisories.checkpoint.com/advisory/cpai-2017-1075/

CVE-2019-16759 – Ejecución remota de código en vBulletin

Fecha de publicación: 24 de Setiembre de 2019

CVSSv3.1 score: 9.8 CRITICAL

CWE-94: Improper Control of Generation of Code (‘Code Injection’)

Versiones vulnerables:  Desde la  5.0.0 hasta la 5.5.4 (incluída)

Solución: Actualización del sistema

Descripción:

Vulnerabilidad en el software creador de foros vBulletin que permite ejecución remota de código. 

Referencia:

https://nvd.nist.gov/vuln/detail/CVE-2019-16759

CVE-2020-5902 – Ejecución remota de código en BIG-IP 

Fecha de publicación: 30 de Junio de 2020

CVSSv3.1 score: 9.8 CRITICAL

CWE-22: Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)

Versiones vulnerables: 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1

Solución: Actualizar versión vulnerable

Descripción:

Vulnerabilidad en el software de configuración TMUI permite una ejecución remota de código. Esta vulnerabilidad tuvo un puntaje EPSS de 0.96817 durante todo el año.

Referencia:

https://nvd.nist.gov/vuln/detail/CVE-2020-5902

CVE-2021-26084 – Ejecución arbitraria de código en Confluence Server or Data Center

Fecha de publicación:  27 de Julio 2021 

CVSS score: 9.8 CRITICAL

CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component (‘Injection’)

Versiones vulnerables: Previas a 6.13.23, desde la versión 6.14.0 hasta 7.4.11, desde la versión 7.5.0 hasta 7.11.6, y desde la versión 7.12.0 hasta 7.12.5.

Solución: Actualizar sistema.

Descripción:

Vulnerabilidad en Confluence Server and Data Center permite ejecución arbitraria de código OGNL en el sistema de etiquetas de Confluence. Si la opción de creación de usuarios está activa, esta vulnerabilidad podría ser explotada por un usuario no autenticado.

Referencia:

https://nvd.nist.gov/vuln/detail/CVE-2021-26084

CVE-2021-26855 – SSRF en conjunto con otras vulnerabilidades permite ejecución remota de código en Microsoft Exchange Server

Fecha de publicación: 2 de Marzo de 2021

CVSSv3.1 score: 9.8 CRITICAL

Descripción:

Cadena de vulnerabilidades (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Permite la ejecución remota de código en servidores de correo electrónico Microsoft Exchange Server

Referencia:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26855

Recomendaciones

Desde el CSIRT de LACNIC recomendamos mantener los sistemas actualizados, ya que como podemos observar  en el apartado anterior, es altamente probable que vulnerabilidades  publicadas hace varios años, continúen siendo explotadas hoy para realizar actividades maliciosas.

 

Referencias del artículo:

¿Qué es el Exploit Prediction Scoring System (EPSS)?

https://csirt.lacnic.net/articulos-y-novedades/que-es-el-exploit-prediction-scoring-system

Autor: Guillermo Pereyra

Fecha: Diciembre 2022