Detección de Vulnerabilidades Priorizadas en la Directiva Operativa Vinculante 22-01 de CISA
Tabla de contenidos:
Para permitir que las organizaciones aborden los riesgos planteados por vulnerabilidades críticas descritas en la Directiva Operativa Vinculante (BOD) 22-01, SOC Prime proporciona una lista extensa de detecciones seleccionadas para identificar posibles intentos de explotación en su infraestructura y aislar activos potencialmente afectados mientras los procedimientos de parcheo están en progreso.
La creciente sofisticación de las actividades maliciosas que amenazan los sectores privado y público a nivel mundial requiere que las organizaciones fortalezcan sus capacidades de defensa cibernética para mantenerse un paso adelante de los atacantes. Parchear las vulnerabilidades conocidas es una de las más altas prioridades para defenderse proactivamente contra las amenazas emergentes.
El 3 de noviembre de 2021, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) lanzó la Directiva Operativa Vinculante (BOD) 22-01 destinada a ayudar a las organizaciones a mitigar los riesgos críticos de vulnerabilidades conocidas bajo explotación activa. La BOD 22-01 es obligatoria para todas las agencias federales de EE. UU.; sin embargo, se recomienda encarecidamente a todas las demás organizaciones, incluidas empresas privadas, negocios en diversas industrias y empresas estatales, priorizar el parcheo de las vulnerabilidades en el foco de atención.
Todos los problemas de seguridad críticos se proporcionan en el catálogo público emitido por CISA junto con la Directiva 22-01. El propósito principal de este catálogo es rastrear y resumir las brechas de seguridad específicas para permitir que las organizaciones a nivel global aborden posibles riesgos y resistan ataques de manera más eficiente.
Catálogo de Vulnerabilidades Explotadas Conocidas por CISA
CISA enumera 291 Vulnerabilidades y Exposiciones Comunes (CVEs) que las agencias federales deben parchear con urgencia. Aunque los parches para toda la lista de errores deberían aplicarse lo antes posible, la priorización es altamente relevante para permitir su implementación gradualmente en tres etapas:
Máxima Prioridad
Algunas de las vulnerabilidades en la lista ya están vencidas, por lo tanto, las organizaciones deben verificar urgentemente si han mejorado su protección de seguridad con los parches existentes. Tales vulnerabilidades incluyen los exploits más severos que sacudieron el mundo digital en 2020-2021, incluidos PrintNightmare, SigRed, Zerologon, CryptoAPI, y Pulse Connect Secure fallas de ciberseguridad. En total, hay 15 CVEs vencidos en la lista de CISA que requieren remediación inmediata.
Alta Prioridad
Más del 30% (100) de las fallas en el catálogo de vulnerabilidades gestionado por CISA están priorizadas para ser parcheadas en menos de dos semanas, hasta el 17 de noviembre de 2021, debido a la gravedad de los exploits y su alto nivel de riesgo.
Prioridad Media
Para la mayoría de los errores en la lista (176), se requieren procedimientos de remediación para ser implementados hasta el 3 de mayo de 2022, lo que permite a las organizaciones tener más de 6 meses restantes para el parcheo.
Detectar Vulnerabilidades de la BOD 22-01 de CISA con la plataforma Detection as Code de SOC Prime
En respuesta al catálogo gestionado por CISA descrito en BOD 22-01, el equipo de contenido de SOC Prime proporciona la lista de contenido recomendado para detectarintentos de explotar esas vulnerabilidades conocidas. Todas las detecciones están disponibles en la plataforma Detection as Code de SOC Prime y se organizan en listas según las prioridades de remediación basadas en la gravedad y el nivel de riesgo de los exploits (más alto y alto) permitiendo a los equipos de seguridad alcanzar primero el contenido más relevante.
El enfoque introducido por SOC Prime se basa en la detección de amenazas y la perspectiva de caza permitiendo a las organizaciones obtener una visión completa de los silos de seguridad de antemano y priorizar fácilmente lo que necesita parcheo urgente. Al aprovechar el stack de detección seleccionado por los expertos de SOC Prime y organizado según las prioridades de remediación, las organizaciones pueden cazar actores maliciosos que explotan amenazas críticas para comprometer los activos organizacionales. Recomendamos aprovechar el contenido de detección dedicado de SOC Prime como desencadenantes para el aislamiento de sistemas potencialmente afectados y usuarios comprometidos.
Detecciones para CVEs de Máxima Prioridad
Aquí puedes encontrar la lista de contenido de detección superior que reunimos para ayudar a los profesionales de la seguridad a abordar CVEs que son de máxima prioridad basada en la CISA emitida Directiva 22-01:
CVE-2021-22893 — Ejecución Remota de Código en Pulse Connect Secure (PCS)
CVE-2021-26855 — Cadena de Explotación del Panel de Control de Exchange OWA de Microsoft (ECP)
CVE-2021-26857 — Cadena de Explotación del Panel de Control de Exchange OWA de Microsoft (ECP)
CVE-2021-26858 — Cadena de Explotación del Panel de Control de Exchange OWA de Microsoft (ECP)
CVE-2021-27065 — Cadena de Explotación del Panel de Control de Exchange OWA de Microsoft (ECP)
CVE-2020-1350 — Vulnerabilidad de Ejecución Remota de Código en el Servidor de DNS de Windows «SigRed»
CVE-2021-34527 — «PrintNightmare» Vulnerabilidad de Ejecución Remota de Código en el Spooler de Impresión de Microsoft Windows
CVE-2020-1472 — “ZeroLogon” Vulnerabilidad de Elevación de Privilegios de NetLogon
CVE-2020-0601 — Vulnerabilidad de Windows 10 API/ECC (Windows CryptoAPI)
CVE-2020-8260 — Ejecución Remota de Código en Pulse Connect Secure
CVE-2019-11510 — vulnerabilidad de lectura de archivos arbitraria en Pulse Secure VPN (lista COVID-19-CTI)
CVE-2021-22900 — Vulnerabilidad de carga de archivos arbitrarios en Pulse Connect Secure
CVE-2021-22894 — Ejecución Remota de Código en Suite de Colaboración Pulse Connect Secure
CVE-2021-22899 — Ejecución Remota de Código en Pulse Connect Secure
CVE-2020-8243 — Ejecución de Código Arbitrario en Pulse Connect Secure
The lista completa de detecciones que abordan todos los CVEs de máxima prioridad está disponible en la plataforma Detection as Code de SOC Prime.
Detecciones para CVEs de Alta Prioridad
La siguiente lista incluye contenido de detección seleccionado disponible en la plataforma de SOC Prime que cubre las vulnerabilidades conocidas explotadas que pueden clasificarse como de alta prioridad según el catálogo correspondiente gestionado por CISA:
CVE-2021-1675 — Ejecución Remota de Código en el Spooler de Impresión de Windows
CVE-2021-22986 — Ejecución Remota de Código no autenticada en F5 iControl REST
CVE-2021-1879 — Vulnerabilidad de XSS en el motor del navegador Webkit de Apple iOS
CVE-2021-21166 — Vulnerabilidad de Desbordamiento de Búfer del Heap en WebAudio de Google Chrome
CVE-2021-21224 — Ejecución Remota de Código en el motor JavaScript V8 de Chromium
CVE-2021-21972 — Ejecución Remota de Código en VMWare vCenter Server
CVE-2021-21985 — Ejecución Remota de Código en VMWare vCenter Server
CVE-2021-22005 — Carga de Archivos en VMWare vCenter Server
CVE-2021-22205 — Ejecución Remota de Código en las ediciones Comunitaria y Empresarial de GitLab desde 11.9
CVE-2021-22502 — Ejecución Remota de Código en Micro Focus Operation Bridge Report (OBR) Server
CVE-2021-26084 — Ejecución de Código Arbitrario en el servidor Confluence de Atlassian
CVE-2021-26411 — Vulnerabilidad de Corrupción de Memoria en Microsoft Internet Explorer y Edge
CVE-2021-30551 — Confusión de Tipos en el motor V8 de Chromium
CVE-2021-30554 — Uso después de liberar en WebGL de Google Chrome
CVE-2021-31207 — Vulnerabilidad de Paso de Característica de Seguridad en el Servidor Exchange de Microsoft
CVE-2021-31956 — Vulnerabilidad de Elevación de Privilegios en NTFS de Microsoft Windows
CVE-2021-31979 — Elevación de Privilegios en el Kernel de Windows
CVE-2021-33771 — Elevación de Privilegios en el Kernel de Windows
CVE-2021-34473 — Vulnerabilidad de Ejecución Remota de Código en el Servidor Exchange de Microsoft
CVE-2021-34523 — Vulnerabilidad de Elevación de Privilegios en el Servidor Exchange de Microsoft
CVE-2021-35211 — Vulnerabilidad de Escape de Memoria Remota en SolarWinds Serv-U
CVE-2021-36942 — Suplantación de LSA de Microsoft
CVE-2021-38647 — Ejecución Remota de Código en la Infraestructura de Gestión Abierta de Microsoft Azure (OMI)
CVE-2021-40444 — Vulnerabilidad de Ejecución Remota de Código en MSHTML de Microsoft
CVE-2021-40539 — Omisión de Autenticación en Zoho Corp. ManageEngine ADSelfService Plus Versión 6113 y anteriores
CVE-2021-41773 — Vulnerabilidad de Travesía de Ruta en el Servidor HTTP Apache
CVE-2021-42013 — Travesía de Ruta en el Servidor HTTP Apache 2.4.49 y 2.4.50
Consulte el lista completa de detecciones para CVEs de alta prioridad a través de la plataforma Detection as Code de SOC Prime.
En este artículo, estamos cubriendo el contenido de detección más relevante para los CVEs críticos principales listados en el catálogo de vulnerabilidades de CISA. SOC Prime enriquece constantemente la plataforma Detection as Code con el contenido más actualizado, y nuevas detecciones que abordan CVEs cubiertos por la BOD 22-01 están bajo investigación y desarrollo para curación y entrega en las próximas semanas.
¿Buscando el contenido de detección de amenazas más reciente? Explore la plataforma Detection as Code de SOC Prime que entrega de forma nativa contenido de detección basado en Sigma a más de 20 soluciones SIEM y XDR mediante suscripción, ayudando a los equipos de seguridad de todo el mundo a defenderse contra ataques digitales de manera más fácil, rápida y eficiente. Para impulsar una defensa cibernética colaborativa, únase a la iniciativa de crowdsourcing de SOC Prime permitiendo que cazadores de amenazas e investigadores de todo el mundo moneticen su propio contenido de detección mientras contribuyen a un futuro más seguro.
