Así crece la superficie de los ataques al Internet de las empresas

La superficie de ataque de las grandes empresas ha crecido en los últimos meses impulsada por las nuevas condiciones de trabajo impuestas por la pandemia de COVID-19.

La amenaza ha aumentado en muchos ámbitos, como los servidores, a los que se puede acceder directamente desde Internet, además de en lo referente a los nombres de dominio, los sitios web, los formularios web, los certificados, las aplicaciones y componentes de terceros o las aplicaciones móviles.

Si bien algunos de esos cambios pueden ser temporales, es probable que muchos de ellos sean permanentes, lo que pone a prueba la capacidad de los equipos informáticos y de seguridad existentes para gestionarlos y protegerlos.

La empresa de seguridad RiskIQ, especializada en el descubrimiento y la protección de activos digitales, ha utilizado los datos recogidos recientemente por su tecnología a través de escaneos de Internet para evaluar la actual superficie de ataque global. Durante dos semanas, la empresa vio la adición de 2.959.498 nuevos nombres de dominio y 772.786.941 nuevos hosts únicos en la web.

Casi la mitad de los sitios web en el top 10.000 de Alexa se ejecutaban en una plataforma de gestión de contenidos conocida, que son objetivos comunes para los hackers debido a su popularidad.

La compañía también identificó 13.222 plugins de WordPress que se ejecutan en estos sitios web, componentes de terceros que también son una fuente común de vulnerabilidades y brechas.

Al buscar vulnerabilidades altas y críticas conocidas, RiskIQ identificó al menos un componente potencialmente vulnerable que se ejecutaba en 2.480 de los 10.000 dominios principales de Alexa. Había 8.121 componentes de la web potencialmente vulnerables en total.

«Aunque algunas de estas instancias tendrán parches u otros controles mitigantes para evitar que las vulnerabilidades y exposiciones identificadas sean explotadas, muchas no lo harán», advirtió RiskIQ en su informe.

Al examinar los activos de Internet pertenecientes a las empresas de la lista FTSE 30, la empresa de seguridad identificó 1.967 nombres de dominio, 5.422 sitios web en vivo, 8.427 hosts, 777.049 páginas web, 3.609 certificados, 76.324 formularios, 2.841 sitios de WordPress y Drupal, 114.504 direcciones IP, 45 servidores de correo, 7, 790 aplicaciones alojadas en nube en Amazon y Azure, 26 instancias de Citrix Netscaler potencialmente vulnerables, ocho instancias de Palo Alto GlobalProtect potencialmente vulnerables, nueve instancias de Pulse Connect potencialmente vulnerables, 25 instancias de Fortinet potencialmente vulnerables y 1.464 instancias de servicios de acceso remoto.

En promedio, cada empresa tenía 324 certificados vencidos y 25 certificados que utilizaban el hashing SHA-1, que está obsoleto y bloqueado; 743 posibles sitios de prueba expuestos a la Internet que podrían plantear un riesgo para los datos; 385 formas inseguras, de las cuales 28 se utilizaban para la autenticación; 46 marcos web con vulnerabilidades conocidas; 80 instancias de PHP 5.x que llegaron al final de su vida útil hace más de un año; y 664 versiones de servidores web con vulnerabilidades conocidas.

«Con los límites entre lo que está dentro del cortafuegos y lo que está fuera, cada vez menos perceptibles, la superficie de ataque de una organización —todo lo que necesita preocuparse por defender— ahora comienza dentro de la red corporativa y se extiende hasta el exterior de Internet, incluso hasta las casas de los empleados», dijo RiskIQ en su informe.

«Para los equipos de seguridad, la profundidad y amplitud de lo que necesitan defender puede parecer desalentador. Sin embargo, pensar en Internet desde la perspectiva de un atacante —una colección de activos digitales que son descubiertos por los hackers mientras investigan sus próximas campañas— puede poner en perspectiva el alcance masivo de la superficie de ataque de su organización».

Las vulnerabilidades de los activos de la web pueden explotarse de diferentes maneras: desde el robo de credenciales y la irrupción en bases de datos hasta la toma completa de servidores y su utilización para acceder a otras partes no públicas de la infraestructura.

Un tipo de ataque común en los últimos años ha sido la inyección de código JavaScript maligno en los sitios web, que se ha utilizado para hacer publicidad maliciosa, utilizando los navegadores de los visitantes para minar la criptografía y robar los datos de las tarjetas de pago de los formularios de compra, una práctica conocida como «web skimming» o ataques Magecart, después de que uno de los grupos más prolíficos se dedicara a esta actividad.

Durante marzo, cuando las compras en línea aumentaron significativamente debido a la pandemia de COVID-19, RiskIQ observó un crecimiento del 30% en los desnatadores de web Magecart. En lo que va de año, la compañía ha detectado 2.552 ataques de Magecart, o 425 por mes. También este año, RiskIQ encontró código JavaScript encriptado en 963 sitios web.

NotiVeraz

Facebook
Twitter
LinkedIn
WhatsApp
Email
WP Twitter Auto Publish Powered By : XYZScripts.com