La lista publicada por el US-CERT
está basada en un análisis completado por el Canadian Cyber Incident Response
Centre (CCIRC, Centro Canadiense de Respuesta a Ciberincidentes) y desarrollado
en colaboración con otros CERTs de Canadá, Nueva Zelanda, Reino Unido y el
Centro de Ciberseguridad de Australia.
El desarrollo de esta lista viene
del hecho de que más del 85 por ciento de los ataques contra infraestructuras
críticas podrían evitarse mediante el uso de estrategias adecuadas como el
bloqueo de software malicioso, restringir los privilegios administrativos y
parchear aplicaciones y sistemas operativos. La alerta publicada ofrece la
información de las 30 vulnerabilidades más empleadas en estos ataques, para
todas ellas existen parches y actualizaciones que evitarían cualquier problema.
Las vulnerabilidades afectan a
software de Adobe, Microsoft, Oracle (Java) y OpenSSL.
Sorprende encontrar entre la
lista una vulnerabilidad de incluso hace 10 años, como un problema en Internet
Explorer en la interpretación de caracteres ASCII extendido (CVE-2006-3227). Aunque
no deja de ser preocupante que la gran mayoría de las vulnerabilidades
descritas tienen más de tres años de antigüedad.
Es el software de Microsoft el
que abarca la mayor parte del listado, con 16 vulnerabilidades, los problemas
se centran principalmente en el navegador Internet Explorer y Office. Por otra
parte, tampoco sorprende descubrir 11 vulnerabilidades en productos Adobe
principalmente en Reader y Acrobat.
Por último dos vulnerabilidades
en
Java
y una en OpenSSL, la conocida como
Heartbleed.
Lista de vulnerabilidades:
Microsoft:
CVE-2006-3227,
CVE-2008-2244,
CVE-2009-3129,
CVE-2009-3674,
CVE-2010-0806,
CVE-2010-3333,
CVE-2011-0101,
CVE-2012-0158,
CVE-2012-1856,
CVE-2012-4792,
CVE-2013-0074,
CVE-2013-1347,
CVE-2014-0322, CVE-2014-1761,
CVE-2014-1776
y
CVE-2014-4114
Más información:
Alert (TA15-119A)
Top 30 Targeted High Risk Vulnerabilities
una-al-dia (08/04/2014) OpenSSL
afectada por una vulnerabilidad apodada Heartbleed
una-al-dia (06/08/2012) Si no
actualizas Java, estás infectado
Antonio Ropero