En un esfuerzo por crear conciencia entre las empresas privadas y las agencias gubernamentales, las agencias de ciberseguridad de los EE. UU., El Reino Unido y Australia han publicado un nuevo asesoramiento conjunto que contiene información sobre las fallas de seguridad más explotadas del año pasado y en lo que va de año.
Como informó por El record, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y el FBI junto con el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y el Centro Australiano de Seguridad Cibernética (ACSC) todos los avisos conjuntos publicados sobre las principales vulnerabilidades explotadas por los ciberdelincuentes.
Estas vulnerabilidades existen en una amplia variedad de productos, desde dispositivos VPN , servidores de correo electrónico, puertas de enlace de acceso a la red, aplicaciones basadas en web, software de escritorio y más.
Según el aviso conjunto de las agencias de ciberseguridad, estas fueron las fallas de seguridad más explotadas en 2020 por el proveedor y el tipo junto con sus números de seguimiento CVE:
Principales vulnerabilidades en 2021 hasta ahora
El aviso conjunto también contiene una segunda lista de vulnerabilidades que los ciberdelincuentes han estado explotando activamente en sus ataques en lo que va de año. Sin embargo, esta lista está dividida por proveedor:
- Microsoft Exchange: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065
- Pulse Secure: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899 y CVE-2021-22900
- Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104
- VMware: CVE-2021-21985
- Fortinet: CVE-2018-13379, CVE-2020-12812 y CVE-2019-5591
Al publicar estas dos listas de las principales fallas de seguridad el año pasado y en lo que va de este año, las agencias de ciberseguridad de los EE. UU., El Reino Unido y Australia esperan alentar a las empresas, así como a las agencias gubernamentales, a echar un segundo vistazo a sus productos y servicios para que ellos pueden parchear cualquier vulnerabilidad todavía tienen que arreglar.
El director de operaciones del NCSC del Reino Unido, Paul Chichester, brindó más información sobre el aviso conjunto publicado por las agencias de ciberseguridad de los tres países en un comunicado de prensa , diciendo:
“Estamos comprometidos a trabajar con aliados para crear conciencia sobre las debilidades cibernéticas globales y presentar soluciones fáciles de aplicar para mitigarlas. El aviso publicado hoy pone el poder en manos de todas las organizaciones para corregir las vulnerabilidades más comunes, como los dispositivos de puerta de enlace VPN sin parches. Trabajando con nuestros socios internacionales, continuaremos creando conciencia sobre las amenazas planteadas por aquellos que buscan causar daño «.
