In this talk, Mateo Martínez will focus on low- and mid-level security vulnerabilities that are often overlooked in security assessments. He will discuss how these vulnerabilities can be exploited and why they are often ignored. Additionally, he will share strategies and techniques to identify and exploit these vulnerabilities, providing deeper insight into how to harden systems and networks against these underappreciated threats. The talk will also emphasize the importance of a comprehensive security assessment that does not ignore any vulnerability, regardless of its level of severity.
3. Votación: ¿Qué es más simple?
Desarrollar un Zero
Day Exploit
Explotar vulnerabilidad del
2020
4. Votación: ¿Qué es más simple?
Desarrollar un Zero
Day Exploit
1
Explotar vulnerabilidad del
2020
399
5. Situación actual en gestión de Vulnerabilidades
La investigación publicada por Rezilion y Ponemon Institute
encontró que el 66% de los líderes de seguridad informan
una acumulación de vulnerabilidades de más de 100,000
vulnerabilidades. También reveló que el 54% dice que
pudo parchear menos del 50% de las vulnerabilidades
identificadas
6. Riesgo
Oxford English Dictionary
Posibilidad de pérdida, lesión u otra circunstancia adversa; una
oportunidad o situación que implique tal posibilidad.
Cambridge Advanced Learner's Dictionary:
La posibilidad de que algo malo suceda (a.k.a. “shit happens” o
“c'est la vie”)
https://www.ncsc.gov.uk/collection/risk-management/the-fundamentals-and-basics-of-cyber-risk
https://en.wikipedia.org/wiki/Shit_happens
8. Sistemas de Puntaje, Clasificación y Priorización
Para comprender el mundo de la calificación de vulnerabilidades de
ciberseguridad, no hay mejor lugar para comenzar que definir los
acrónimos más utilizados.
● CVE: Common Vulnerabilities and Exposures
● CWE: Common Weakness Enumeration
● CNA: CVE Numbering Authority
● KEV: Known Exploited Vulnerabilities
● CVSS: Common Vulnerability Scoring System
● EPSS: Exploit Prediction Scoring System
● SSVC: Stakeholder-Specific Vulnerability Categorization
● CPE: Common Platform Enumeration
13. Identificación y Nomenclatura
Se trabaja en bases de datos comunes con identificaciones como las de CVE que
registran vulnerabilidades. Por otro lado también se consideran los CWE como un
lenguaje común.
https://cve.mitre.org/
https://cwe.mitre.org/
14. Puntaje CVSS
A las vulnerabilidades conocidas públicamente catalogadas en bases de datos
como la Base de datos nacional de vulnerabilidades de EE. UU. se les asigna
una puntuación de gravedad numérica basada en CVSS
CVSS provee un puntaje de riesgo para cada CVE.
El formato de CVE es:
CVE-[4 Digit Year]-[Sequential Identifier]
Por ejemplo, el CVE de Heartbleed es: CVE-2014-0160
15. Priorización
En general, las vulnerabilidades de gravedad crítica y alta se corrigen, las
vulnerabilidades de riesgo medio se tratan cuando y si hay
personal y capacidad presupuestaria, y las vulnerabilidades de
gravedad baja se dejan persistir indefinidamente.
18. Priorización
Stakeholder-Specific Vulnerability Categorization (SSVC)
Es una metodología de análisis de vulnerabilidades que da cuenta del estado de
explotación de una vulnerabilidad y los impactos en la seguridad
https://www.cisa.gov/stakeholder-specific-vulnerability-categorization-ssvc
https://www.cisa.gov/ssvc-calculator
20. Priorización con EPSS
Esfuerzo basado en datos para estimar la probabilidad de que una vulnerabilidad
de sea explotada. El objetivo es ayudar a priorizar mejor los esfuerzos de
remediación de vulnerabilidades.
“machine learning model capable of estimating the probability that a vulnerability
would be exploited within 30 days”
https://www.first.org/epss/
https://arxiv.org/abs/2302.14172
22. KEV (Known Exploited Vulnerabilities)
Según CISA, el 50% de los KEV se explotan dentro de
los 2 días posteriores a su identificación como una
vulnerabilidad conocida.
Y después de 28 días, eso aumenta al 75%.
23. Publicación de un CVE
El promedio desde que se descubre una vulnerabilidad hasta que
se le asigna un CVE es de 45 días
24. Ventana de exposición a riesgo de explotación
24
Época de Oscuridad
Existe la vulnerabilidad
pero nadie la conoce
Zero-Day
La vulnerabilidad es
conocida y algunos ya
conocen como explotarla
Zero-Day Exploit disponible
La forma de explotar la
vulnerabilidad se hace pública
Parche Disponible
Se disponibiliza un parche
en el mercado que corrige
la vulnerabilidad
Parche Aplicado
Se aplicar un parche para
corregir la vulnerabilidad en
los sistemas
100% Responsabilidad de la organización
(Administradores + Management)
Ventana de completa de exposición al
riesgo de explotación
25. Medium Risk
Las vulnerabilidades de seguridad se clasifican como de riesgo medio si cumplen alguna
de las siguientes condiciones.
1. Vulnerabilidades de seguridad que pueden causar un bajo impacto en los sistemas
● El código de ataque está disponible públicamente
● Las vulnerabilidades se están utilizando en exploits dispersos.
1. Vulnerabilidades de seguridad que pueden causar un impacto medio en los sistemas
● Se acaban de descubrir vulnerabilidades
● Existe un exploit PoC
● El código de ataque está disponible públicamente
● Las vulnerabilidades se están utilizando en exploits dispersos.
1. Suele ser utilizado por vulnerabilidades de seguridad que pueden causar un gran
impacto en los sistemas de destino. En el momento de la divulgación, las
vulnerabilidades acaban de descubrirse.
38. MEDIUM RISK: CVE 2020-9307 (6.5)
Hitachi ABB Power Grids AFS Series
(CVE-2020-9307) causes a denial-of-
service condition on one of the ports in a
HSR ring
39. MEDIUM RISK: CVE 2020-9307 (6.5)
Hitachi ABB Power Grids AFS Series
(CVE-2020-9307) causes a denial-of-
service condition on one of the ports in a
HSR ring
69. Race Condition en Github
(CVE-2023-4127)
https://nvd.nist.gov/vuln/detail/CVE-2023-4127
https://huntr.dev/bounties/cf7d19e3-1318-4c77-8366-d8d04a0b41ba/
Un atacante puede aumentar o disminuir los votos
explotando la vulnerabilidad.
79. Go
Go 1.21.1 acaba de salir y corrige cuatro CVE en la biblioteca
estándar, lo que significa que se necesita actualizar Go
y reconstruir y volver a implementar todas sus aplicaciones
para asegurarse de que esté parcheado.
Los CVE son CVE-2023-39320, CVE-2023-39318, CVE-2023-
39319 y CVE-2023-39322. El NVD aún no ha subido sus
puntuaciones
https://groups.google.com/g/golang-announce/c/UXJQvKffcao?pli=1
https://groups.google.com/g/golang-announce/c/Fm51GRLNRvM
85. CVE-2023-1170 (6.6)
Heap-based Buffer Overflow in GitHub
repository vim/vim prior to 9.0.1376.
https://nvd.nist.gov/vuln/detail/CVE-2023-1170
https://feedly.com/cve/CVE-2023-1170
git log
commit
f0300fc7b81e63c2584dc3a763dedea4
184d17e5 (grafted, HEAD ->
master, tag: v9.0.1365,
origin/master, origin/HEAD) Impact
“This vulnerability is capable of
crashing software, modify
memory, and possible remote
execution.”
86. CVE-2023-1170 (6.6)
https://nvd.nist.gov/vuln/detail/CVE-2023-1170
https://feedly.com/cve/CVE-2023-1170
./vim -u NONE -i NONE -n -m -X -Z -e -s -S poc8_hbo.dat -c :qa
=================================================================
==28015==ERROR: AddressSanitizer: heap-buffer-overflow on address 0x621000008900 at
pc 0x55bde0d0e239 bp 0x7fff1bc7f540 sp 0x7fff1bc7f530
READ of size 1 at 0x621000008900 thread T0
#0 0x55bde0d0e238 in utf_ptr2char /home/fuzz/vim/src/mbyte.c:1825
#1 0x55bde0d410af in gchar_cursor /home/fuzz/vim/src/misc1.c:550
#2 0x55bde0dbe950 in adjust_cursor_eol /home/fuzz/vim/src/ops.c:1873
#3 0x55bde0ed97e7 in do_put /home/fuzz/vim/src/register.c:2301
#4 0x55bde0db035d in nv_put_opt /home/fuzz/vim/src/normal.c:7378
#5 0x55bde0daf772 in nv_put /home/fuzz/vim/src/normal.c:7255
87. Historias de pentesting Vol. 1
Se identificó una vulnerabilidad de inyección de Carriage Return Line Feed (CRLF).
La vulnerabilidad de inyección de CRLF (Carriage Return Line Feed) se refiere a la
inserción especial de caracteres de control de CR (r') y LF (n') en la entrada del
usuario. Estos caracteres se usan para separar las cabeceras y el cuerpo en los
protocolos HTTP.
La explotación exitosa de esta vulnerabilidad puede permitir a un atacante inyectar una
nueva cabecera HTTP y, en algunos casos, contenido de respuesta HTTP.
90. Historias de pentesting Vol. 3
Enumeración de usuarios con vulnerabilidad conocida
(CVE-2018-15473)
https://nvd.nist.gov/vuln/detail/cve-2018-15473
Luego de una comprobación escaneos de puerto y versiones de los
servicios se pudo concluir que el puerto 2525 donde responde el
servicio OpenSSH 5.3 era vulnerable a CVE-2018-15473. Con el uso de
exploits públicos se pudo enumerar usuarios válidos del sistema.
91. Historias de pentesting Vol. 3
Enumeración de usuarios con vulnerabilidad conocida
(CVE-2018-15473)
https://nvd.nist.gov/vuln/detail/cve-2018-15473
92. Resumen
1. Las vulnerabilidades publicadas han aumentado exponencialmente en los últimos
6 años. Entre 2016 y 2022, hubo un aumento del 362% en las vulnerabilidades
publicadas. Este aumento obliga a las organizaciones a dedicar más tiempo y
esfuerzo a las actividades de remediación.
2. A partir de 2022, había una escasez de 3,4 millones de trabajadores de seguridad
cibernética en todo el mundo y 700.000 solo en los Estados Unidos. Esta brecha
de habilidades ha resultado en que el personal existente experimente cargas de
trabajo más pesadas que las que tendría en una organización con el personal
adecuado. Por lo tanto, hay menos personal disponible para dedicar la atención
necesaria a remediar las vulnerabilidades, y es más probable que los empleados
disponibles estén sobrecargados de trabajo y sean más susceptibles a cometer
un error.
93. Resumen
3. Un número cada vez mayor de organizaciones requieren que sus sistemas
estén en línea y disponibles durante períodos de tiempo más prolongados. Muchos
sistemas requieren disponibilidad casi las 24 horas del día, los 7 días de la semana,
lo que impone una carga a los equipos de reparación para minimizar el tiempo de
inactividad y mantener los sistemas protegidos contra vulnerabilidades. El tiempo
limitado para remediar las vulnerabilidades podría resultar en un descuido en un
esfuerzo por trabajar rápidamente en lugar de con cuidado.
4. Existen diversos sistemas de puntaje y priorización inclusive con diferentes
criterios y variables
94. Recomendaciones
1. Definir una política propia de priorización basada en negocio y buenas
prácticas de mercado
2. Establecer un programa claro y real (ejecutable) de remediación
3. Definir un plan preciso para las vulnerabilidades no corregidas y olvidadas
4. Considerar siempre la capacidad de explotación como una variable
importante pero no la única
5. Tener siempre presente que priorizar nos permite ejecutar y mantener un
buen estado de salud pero deja poros abiertos en la seguridad
6. Entender y tener claro que las vulnerabilidades se publican más rápido
que la asignación de CVEs.
7. Entender la criticidad de activos y los controles de seguridad existentes
que pueden ser mitigadores de riesgos
8. Intentar automatizar los parches en todos los activos donde sea posible