Qué contienen estos 12000 PoCs sobre exploits compartidos online

¿Qué contienen estos 12000 PoCs sobre exploits compartidos online?

Expertos de ciberseguridad en la empresa Recorded Future han realizado un interesante estudio sobre una gran cantidad de PoC (pruebas de concepto) referentes a exploits, compartidos online de diferentes formas durante el año pasado: Twitter, blogs personales, respositorios como GitHub, Pastebin, etc.

Estas pruebas de concepto son desarrolladas por delincuentes o expertos en seguridad (en muchos casos), para así demostrar la existencia de fallos de seguridad y mostrar de qué formas pueden ser usados. En algunos casos, los hackers incluso publican las PoC de los exploits online, para así forzar a la empresa a arreglar fallos en sus productos. Suelen hacerlo cuando estiman que la empresa está haciendo oídos sordos.

También se ha llegado a hacer de forma un tanto interesada, cuando por ejemplo el equipo de seguridad de Google desclasificó una vulnerabilidad que afectaba al navegador de Microsoft, sin tener constancia de que la hubieran corregido.

12000 Pruebas de concepto para exploits

Nada menos que 12000 referencias a PoCs fueron compartidas entre el 22 de Marzo de 2015 y finales del mismo año. Esto supone un incremento neto del 200% respecto a la publicación de exploits el año anterior, y refleja de paso la buena salud del sector de la seguridad informática.

Medios de envío preferidos

Según el informe, la mayoría de las pruebas de concepto fueron enviadas mediante redes sociales, un 97% de casos. Twitter destaca como la red líder aquí, dada su velocidad de interacción y lo vasto del alcance. En algo menos de un 2% de casos, se han utilizado los repositorios de código.

Nuestra investigación muestra que los POCs son diseminados inicialmente en Twitter, con usuarios haciendo referencia a las pruebas de concepto en otros medios conectados, como repositorios (Github), sitios de pegado (Pastebin), medios sociales (Facebook en incluso Reddit) y foros de la Deep Web (chinos y de habla hispana) según el estudio.

Fuente Número Proporción
Social Media 11,549 97%
Repositorios de código 215 1.8%
Mainstream 42 0.35%
Ninguno 33 0.28%
Niche 26 0.22%
Blogs 22 0.18%
Foros 11 0.09%
Intercambio 4 0.03%
Reportes de malware/vulnerabilidades 2 0.02%
Sitios de pegado online 2 0.02%

Los objetivos de estos POC de exploits

Las 3 tecnologías más afectadas por estos exploits compartidos serían, en este orden:

  • Android: 35,8%
  • Sistemas DNS: 23,2%
  • SSH: 20,3%

Además, completan la lista otros como Windows 7 y Windows 8 de Microsoft, Internet Explorer, librerías GNU C (glibc) y sistema Linux o navegadores como Firefox.

12000 PoCs sobre exploits
Principales plataformas afectadas por estos 12000 PoCs sobre exploits

Si echamos un vistazo a la lista de los exploits más compartidos, tenemos el desbordamiento de búfer descrito en CVE-2015-7547 como uno de los POC más populares. Este exploit afecta a la librería GNU C y, si es vulnerado, los malos podrían lanzar un desbordamiento de búfer, usando una respuesta DNS contaminada.

Otros fallos de seguridad populares contemplan el CVE-2015-1635CVE-2016-0051 en Microsoft Windows Server, además del CVE-2015-3456, referente a la antaño conocida vulnerabilidad Venom.

El análisis de las 10 vulnerabilidades más populares en base a POC, muestra como el enfoque está sobre todo situado en Linux y servidores Windows, dada su importancia.

Según las recopilaciones open Source Intelligence (OSINT) realizadas por Recorded Future, aquí tenemos una lista de los principales POCs del 2015: 

Según lo describe Nick Espinoza, de Recorded Future:

Los investigadores y actores malicisos emplean su tiempo desarrollando pruebas de concepto para servidores Web o servicios relacionados con Microsoft Office, Internet Explorer o similares.

Estos productos son de gran interés, porque claramente se asientan en los dos mercados: consumidor final, empresas y gobiernos.

 

 

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s