In this talk, Mateo Martínez will focus on low- and mid-level security vulnerabilities that are often overlooked in security assessments. He will discuss how these vulnerabilities can be exploited and why they are often ignored. Additionally, he will share strategies and techniques to identify and exploit these vulnerabilities, providing deeper insight into how to harden systems and networks against these underappreciated threats. The talk will also emphasize the importance of a comprehensive security assessment that does not ignore any vulnerability, regardless of its level of severity.

1. Those beauty medium-risk vulns
to be exploited
Mateo Martínez

2. Vulnerabilidades
SAST
SCA
DAST
IAST
RASP
Infraestructura
Hardware
IaC
SCS

3. Votación: ¿Qué es más simple?
Desarrollar un Zero
Day Exploit
Explotar vulnerabilidad del
2020

4. Votación: ¿Qué es más simple?
Desarrollar un Zero
Day Exploit
1
Explotar vulnerabilidad del
2020
399

5. Situación actual en gestión de Vulnerabilidades
La investigación publicada por Rezilion y Ponemon Institute
encontró que el 66% de los líderes de seguridad informan
una acumulación de vulnerabilidades de más de 100,000
vulnerabilidades. También reveló que el 54% dice que
pudo parchear menos del 50% de las vulnerabilidades
identificadas

6. Riesgo
Oxford English Dictionary
Posibilidad de pérdida, lesión u otra circunstancia adversa; una
oportunidad o situación que implique tal posibilidad.
Cambridge Advanced Learner's Dictionary:
La posibilidad de que algo malo suceda (a.k.a. “shit happens” o
“c'est la vie”)
https://www.ncsc.gov.uk/collection/risk-management/the-fundamentals-and-basics-of-cyber-risk
https://en.wikipedia.org/wiki/Shit_happens

7. Nivel de Riesgo de Vulnerabilidades

8. Sistemas de Puntaje, Clasificación y Priorización
Para comprender el mundo de la calificación de vulnerabilidades de
ciberseguridad, no hay mejor lugar para comenzar que definir los
acrónimos más utilizados.
● CVE: Common Vulnerabilities and Exposures
● CWE: Common Weakness Enumeration
● CNA: CVE Numbering Authority
● KEV: Known Exploited Vulnerabilities
● CVSS: Common Vulnerability Scoring System
● EPSS: Exploit Prediction Scoring System
● SSVC: Stakeholder-Specific Vulnerability Categorization
● CPE: Common Platform Enumeration

11. Puntaje CVSS
https://www.first.org/cvss/calculator/4.0

12. Puntaje CVSSv3
CVSS Score Qualitative Rating
0.0 None
0.1 – 3.9 Low
4.0 – 6.9 Medium
7.0 – 8.9 High
9.0 – 10.0 Critical

13. Identificación y Nomenclatura
Se trabaja en bases de datos comunes con identificaciones como las de CVE que
registran vulnerabilidades. Por otro lado también se consideran los CWE como un
lenguaje común.
https://cve.mitre.org/
https://cwe.mitre.org/

14. Puntaje CVSS
A las vulnerabilidades conocidas públicamente catalogadas en bases de datos
como la Base de datos nacional de vulnerabilidades de EE. UU. se les asigna
una puntuación de gravedad numérica basada en CVSS
CVSS provee un puntaje de riesgo para cada CVE.
El formato de CVE es:
CVE-[4 Digit Year]-[Sequential Identifier]
Por ejemplo, el CVE de Heartbleed es: CVE-2014-0160

15. Priorización
En general, las vulnerabilidades de gravedad crítica y alta se corrigen, las
vulnerabilidades de riesgo medio se tratan cuando y si hay
personal y capacidad presupuestaria, y las vulnerabilidades de
gravedad baja se dejan persistir indefinidamente.

16. Priorización
https://www.isaca.org/resources/news-and-trends/industry-news/2023/using-a-risk-based-approach-to-
prioritize-vulnerability-remediation

18. Priorización
Stakeholder-Specific Vulnerability Categorization (SSVC)
Es una metodología de análisis de vulnerabilidades que da cuenta del estado de
explotación de una vulnerabilidad y los impactos en la seguridad
https://www.cisa.gov/stakeholder-specific-vulnerability-categorization-ssvc
https://www.cisa.gov/ssvc-calculator

19. Priorización
https://www.cisa.gov/stakeholder-specific-vulnerability-categorization-ssvc
https://www.cisa.gov/ssvc-calculator

20. Priorización con EPSS
Esfuerzo basado en datos para estimar la probabilidad de que una vulnerabilidad
de sea explotada. El objetivo es ayudar a priorizar mejor los esfuerzos de
remediación de vulnerabilidades.
“machine learning model capable of estimating the probability that a vulnerability
would be exploited within 30 days”
https://www.first.org/epss/
https://arxiv.org/abs/2302.14172

21. Priorización con EPSS
https://www.first.org/epss/
https://arxiv.org/abs/2302.14172

22. KEV (Known Exploited Vulnerabilities)
Según CISA, el 50% de los KEV se explotan dentro de
los 2 días posteriores a su identificación como una
vulnerabilidad conocida.
Y después de 28 días, eso aumenta al 75%.

23. Publicación de un CVE
El promedio desde que se descubre una vulnerabilidad hasta que
se le asigna un CVE es de 45 días

24. Ventana de exposición a riesgo de explotación
24
Época de Oscuridad
Existe la vulnerabilidad
pero nadie la conoce
Zero-Day
La vulnerabilidad es
conocida y algunos ya
conocen como explotarla
Zero-Day Exploit disponible
La forma de explotar la
vulnerabilidad se hace pública
Parche Disponible
Se disponibiliza un parche
en el mercado que corrige
la vulnerabilidad
Parche Aplicado
Se aplicar un parche para
corregir la vulnerabilidad en
los sistemas
100% Responsabilidad de la organización
(Administradores + Management)
Ventana de completa de exposición al
riesgo de explotación

25. Medium Risk
Las vulnerabilidades de seguridad se clasifican como de riesgo medio si cumplen alguna
de las siguientes condiciones.
1. Vulnerabilidades de seguridad que pueden causar un bajo impacto en los sistemas
● El código de ataque está disponible públicamente
● Las vulnerabilidades se están utilizando en exploits dispersos.
1. Vulnerabilidades de seguridad que pueden causar un impacto medio en los sistemas
● Se acaban de descubrir vulnerabilidades
● Existe un exploit PoC
● El código de ataque está disponible públicamente
● Las vulnerabilidades se están utilizando en exploits dispersos.
1. Suele ser utilizado por vulnerabilidades de seguridad que pueden causar un gran
impacto en los sistemas de destino. En el momento de la divulgación, las
vulnerabilidades acaban de descubrirse.

26. VulDB

27. CVExploits

28. CVExploits

29. CVExploits

30. CVExploits

31. CVExploits
POST /api/sys/set_passwd HTTP/1.1
Host:
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Length: 0
Content-Type: application/x-www-form-urlencoded
DNT: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML,
like Gecko) Chrome/83.0.4103.116 Safari/537.36
{"username":"admin","admin_new":"DragonJar2023"}

32. CVExploits

33. CVExploits

34. Severity = Low?

35. Severity = Low?
https://nvd.nist.gov/vuln/detail/CVE-2023-29084

36. Severity = Low?
https://cvexploits.io/search

37. Severity = Low?
https://packetstormsecurity.com/files/172755/ManageEngine-ADManager-Plus-Command-Injection.html

38. MEDIUM RISK: CVE 2020-9307 (6.5)
Hitachi ABB Power Grids AFS Series
(CVE-2020-9307) causes a denial-of-
service condition on one of the ports in a
HSR ring

39. MEDIUM RISK: CVE 2020-9307 (6.5)
Hitachi ABB Power Grids AFS Series
(CVE-2020-9307) causes a denial-of-
service condition on one of the ports in a
HSR ring

40. Apple
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=apple
CVE-2019-8661 …….. CVE-2023-32373

41. Fortinet
https://www.cvedetails.com/vulnerability-list/vendor_id-3080/Fortinet.html

42. Fortinet
(CVE-2023-33307)

43. Fortinet
https://www.fortiguard.com/psirt/FG-IR-23-015

44. Fortinet (2da chance)
(CVE-2023-33299)
https://www.fortiguard.com/psirt/FG-IR-23-074

45. Fortinet (2da chance)
https://www.fortiguard.com/psirt/FG-IR-23-074

46. Fortinet (3era chance)
https://www.fortiguard.com/psirt/FG-IR-23-107

47. Fortinet (4ta chance)
https://www.fortiguard.com/psirt/FG-IR-22-520

48. Fortinet (5ta chance)
https://www.fortiguard.com/psirt/FG-IR-22-252

49. Fortinet (6ta chance)
https://www.cvedetails.com/cve/CVE-2022-23441/

50. Wordpress
https://www.cvedetails.com/vulnera
bility-list/vendor_id-
2337/product_id-4096/Wordpress-
Wordpress.html

51. Wordpress
https://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/Wordpress-Wordpress.html

52. Wordpress
https://github.com/WordPress/wordpress-develop/commit/c09ccfbc547d75b392dbccc1ef0b4442ccd3c957

53. Wordpress (CVE-2022-21661)
https://www.exploit-db.com/exploits/50663

54. Wordpress
https://www.exploit-db.com/exploits/50663

55. Wordpress
https://www.exploit-db.com/exploits/50663

56. Trendmicro
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32534

57. Trendmicro
https://success.trendmicro.com/dcx/s/solution/000293107?language=en_US

58. Trendmicro
https://success.trendmicro.com/dcx/s/solution/000293107?language=en_US

59. From Github Advisory Database
https://github.com/advisories?query=type%3Areviewed+severity%3Amoderate

60. From Github Advisory Database
https://git.moodle.org/gw?p=moodle.git;a=commitdiff;h=0c69ff1dd1023b6feab371d1e16dc50c574fbe5e

61. From Github Advisory Database
https://github.com/node-swig/swig-templates/issues/88

62. Dependencias Opensource
https://node-swig.github.io/swig-templates/

63. Dependencias Opensource
https://security.snyk.io/vuln/SNYK-JS-SWIGTEMPLATES-3266805

64. Dependencias Opensource
https://nvd.nist.gov/vuln/detail/CVE-2023-25345

65. Dependencias Opensource
https://bugzilla.redhat.com/show_bug.cgi?id=2216001
https://nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-25345

66. Dependencias Opensource
https://bugzilla.redhat.com/show_bug.cgi?id=2216001
https://nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-25345

67. Dependencias Opensource
https://github.com/node-swig/swig-templates/issues/82

68. Dependencias Opensource
https://github.com/node-swig/swig-templates/issues/82

69. Race Condition en Github
(CVE-2023-4127)
https://nvd.nist.gov/vuln/detail/CVE-2023-4127
https://huntr.dev/bounties/cf7d19e3-1318-4c77-8366-d8d04a0b41ba/
Un atacante puede aumentar o disminuir los votos
explotando la vulnerabilidad.

70. https://nvd.nist.gov/vuln/detail/CVE-2023-4127

71. Zero Day Initiative
https://www.zerodayinitiative.com/advisories/published/

72. CVE System Broken
https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/
https://curl.se/docs/CVE-2020-19909.html
CVE-2020-19909
9.8 Critical

73. CVE System Broken
https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/
https://curl.se/docs/CVE-2020-19909.html

74. CVE System Broken
https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/
https://curl.se/docs/CVE-2020-19909.html

75. CVE System Broken
https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/
https://curl.se/docs/CVE-2020-19909.html

76. CVE System Broken
https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/
https://curl.se/docs/CVE-2020-19909.html
CVE-2020-19909
9.8 Critical
curl --retry-delay 18446744073709552
not a feature, just a bug

77. CVE System Broken
https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/
https://curl.se/docs/CVE-2020-19909.html
En tool_operate.c en la línea 1541, si
--retry-delay>18446744073709552,
config->retry_delay*1000 > 2^64
genera un integer overflow

78. Go
https://groups.google.com/g/golang-announce/c/UXJQvKffcao?pli=1
https://groups.google.com/g/golang-announce/c/Fm51GRLNRvM
“We plan to issue Go 1.21.1 and Go 1.20.8 during US business hours on
Wednesday, September 6.
These minor releases include PRIVATE security fixes to the standard
library and the toolchain, covering the following CVEs:
•CVE-2023-39318
•CVE-2023-39319
•CVE-2023-39320”

79. Go
Go 1.21.1 acaba de salir y corrige cuatro CVE en la biblioteca
estándar, lo que significa que se necesita actualizar Go
y reconstruir y volver a implementar todas sus aplicaciones
para asegurarse de que esté parcheado.
Los CVE son CVE-2023-39320, CVE-2023-39318, CVE-2023-
39319 y CVE-2023-39322. El NVD aún no ha subido sus
puntuaciones
https://groups.google.com/g/golang-announce/c/UXJQvKffcao?pli=1
https://groups.google.com/g/golang-announce/c/Fm51GRLNRvM

80. CVE-2023-4265
https://feedly.com/cve/CVE-2023-4265
https://github.com/zephyrproject-rtos/zephyr/security/advisories/GHSA-4vgv-5r6q-r6xh

81. CVE-2023-4265
https://feedly.com/cve/CVE-2023-4265
https://github.com/zephyrproject-rtos/zephyr/security/advisories/GHSA-4vgv-5r6q-r6xh
“Con más de 164 GW
de aerogeneradores
en 87 países, hemos
instalado más energía
eólica que nadie.”

82. Primer Buffer Overflow
(CVE-2023-4265)
https://feedly.com/cve/CVE-2023-4265
https://github.com/zephyrproject-rtos/zephyr/security/advisories/GHSA-4vgv-5r6q-r6xh
struct usb_ep_ctrl_prv {
u8_t ep_ena;
u16_t mps;
usb_dc_ep_callback cb;
u32_t data_len;
u8_t buf[64];
u8_t buf_len;
};
Falta una verificación de data_len.
Si data y data_len están
controlados por un atacante, el
buffer de tamaño fijo en la
siguiente estructura podría
desbordarse durante memcpy(),
lo que podría provocar una
denegación de servicio o la
ejecución de código arbitrario:

83. Segundo Buffer Overflow
(CVE-2023-4265)
https://feedly.com/cve/CVE-2023-4265
https://github.com/zephyrproject-rtos/zephyr/security/advisories/GHSA-4vgv-5r6q-r6xh
memcpy(*data, buf->data, buf->len); /* VULN
*/
*len = buf->len;
net_buf_unref(buf);
return 0;
Falta una verificación en buf->len. Si buf->data y buf->len están controlados por un atacante, el búfer
de datos podría desbordarse debido a memcpy(), lo que podría provocar una denegación de servicio
o la ejecución de código arbitrario.

84. Ansible (CVE-2023-4380)
https://access.redhat.com/security/cve/cve-2023-4380
“Siempre que se crea un
proyecto privado con
credenciales incorrectas,
se registra en texto plano.
Esta falla permite a un
atacante recuperar las
credenciales del registro”

85. CVE-2023-1170 (6.6)
Heap-based Buffer Overflow in GitHub
repository vim/vim prior to 9.0.1376.
https://nvd.nist.gov/vuln/detail/CVE-2023-1170
https://feedly.com/cve/CVE-2023-1170
git log
commit
f0300fc7b81e63c2584dc3a763dedea4
184d17e5 (grafted, HEAD ->
master, tag: v9.0.1365,
origin/master, origin/HEAD) Impact
“This vulnerability is capable of
crashing software, modify
memory, and possible remote
execution.”

86. CVE-2023-1170 (6.6)
https://nvd.nist.gov/vuln/detail/CVE-2023-1170
https://feedly.com/cve/CVE-2023-1170
./vim -u NONE -i NONE -n -m -X -Z -e -s -S poc8_hbo.dat -c :qa
=================================================================
==28015==ERROR: AddressSanitizer: heap-buffer-overflow on address 0x621000008900 at
pc 0x55bde0d0e239 bp 0x7fff1bc7f540 sp 0x7fff1bc7f530
READ of size 1 at 0x621000008900 thread T0
#0 0x55bde0d0e238 in utf_ptr2char /home/fuzz/vim/src/mbyte.c:1825
#1 0x55bde0d410af in gchar_cursor /home/fuzz/vim/src/misc1.c:550
#2 0x55bde0dbe950 in adjust_cursor_eol /home/fuzz/vim/src/ops.c:1873
#3 0x55bde0ed97e7 in do_put /home/fuzz/vim/src/register.c:2301
#4 0x55bde0db035d in nv_put_opt /home/fuzz/vim/src/normal.c:7378
#5 0x55bde0daf772 in nv_put /home/fuzz/vim/src/normal.c:7255

87. Historias de pentesting Vol. 1
Se identificó una vulnerabilidad de inyección de Carriage Return Line Feed (CRLF).
La vulnerabilidad de inyección de CRLF (Carriage Return Line Feed) se refiere a la
inserción especial de caracteres de control de CR (r') y LF (n') en la entrada del
usuario. Estos caracteres se usan para separar las cabeceras y el cuerpo en los
protocolos HTTP.
La explotación exitosa de esta vulnerabilidad puede permitir a un atacante inyectar una
nueva cabecera HTTP y, en algunos casos, contenido de respuesta HTTP.

88. Historias de pentesting Vol. 1

89. Historias de pentesting Vol. 2
Claves hardcodeadas en APKs

90. Historias de pentesting Vol. 3
Enumeración de usuarios con vulnerabilidad conocida
(CVE-2018-15473)
https://nvd.nist.gov/vuln/detail/cve-2018-15473
Luego de una comprobación escaneos de puerto y versiones de los
servicios se pudo concluir que el puerto 2525 donde responde el
servicio OpenSSH 5.3 era vulnerable a CVE-2018-15473. Con el uso de
exploits públicos se pudo enumerar usuarios válidos del sistema.

91. Historias de pentesting Vol. 3
Enumeración de usuarios con vulnerabilidad conocida
(CVE-2018-15473)
https://nvd.nist.gov/vuln/detail/cve-2018-15473

92. Resumen
1. Las vulnerabilidades publicadas han aumentado exponencialmente en los últimos
6 años. Entre 2016 y 2022, hubo un aumento del 362% en las vulnerabilidades
publicadas. Este aumento obliga a las organizaciones a dedicar más tiempo y
esfuerzo a las actividades de remediación.
2. A partir de 2022, había una escasez de 3,4 millones de trabajadores de seguridad
cibernética en todo el mundo y 700.000 solo en los Estados Unidos. Esta brecha
de habilidades ha resultado en que el personal existente experimente cargas de
trabajo más pesadas que las que tendría en una organización con el personal
adecuado. Por lo tanto, hay menos personal disponible para dedicar la atención
necesaria a remediar las vulnerabilidades, y es más probable que los empleados
disponibles estén sobrecargados de trabajo y sean más susceptibles a cometer
un error.

93. Resumen
3. Un número cada vez mayor de organizaciones requieren que sus sistemas
estén en línea y disponibles durante períodos de tiempo más prolongados. Muchos
sistemas requieren disponibilidad casi las 24 horas del día, los 7 días de la semana,
lo que impone una carga a los equipos de reparación para minimizar el tiempo de
inactividad y mantener los sistemas protegidos contra vulnerabilidades. El tiempo
limitado para remediar las vulnerabilidades podría resultar en un descuido en un
esfuerzo por trabajar rápidamente en lugar de con cuidado.
4. Existen diversos sistemas de puntaje y priorización inclusive con diferentes
criterios y variables

94. Recomendaciones
1. Definir una política propia de priorización basada en negocio y buenas
prácticas de mercado
2. Establecer un programa claro y real (ejecutable) de remediación
3. Definir un plan preciso para las vulnerabilidades no corregidas y olvidadas
4. Considerar siempre la capacidad de explotación como una variable
importante pero no la única
5. Tener siempre presente que priorizar nos permite ejecutar y mantener un
buen estado de salud pero deja poros abiertos en la seguridad
6. Entender y tener claro que las vulnerabilidades se publican más rápido
que la asignación de CVEs.
7. Entender la criticidad de activos y los controles de seguridad existentes
que pueden ser mitigadores de riesgos
8. Intentar automatizar los parches en todos los activos donde sea posible

95. Those beauty medium-risk vulns
to be exploited
Mateo Martínez