¿Estamos listos para lidiar con actualizaciones maliciosas masivas?
Bienvenido a la segunda publicación de la serie Future Insights de Forcepoint, que ofrece perspectivas y predicciones sobre la ciberseguridad que pueden transformarse en inquietudes apremiantes en 2022.
En noviembre de 2020, el incidente de Sunburst sacudió a la industria. Mediante el uso de malware sumamente sofisticado oculto dentro de actualizaciones de software legítimas, los atacantes no solo pudieron exfiltrar los datos objetivo sino además diseminar el malware a una enorme cantidad de víctimas.
Se trató de un ataque inusualmente complejo y sofisticado. El malware de exfiltración de datos llamado Sunburst se entregó mediante el software Orion de Solarwinds, una actualización de confianza que se entregó a más de 18 000 organizaciones públicas y privadas. Tras permanecer inactivo por casi 14 meses, el malware comenzó su trabajo de exfiltrar datos. Ahora se lo reconoce como el mayor ejemplo de un ataque a la cadena de suministro, que afectó a organizaciones del gobierno de los EE. UU., grandes empresas como FireEye, Microsoft y Deloitte, y también a miles de empresas más pequeñas. Todavía no entendemos plenamente el panorama completo, y, a pesar de que existe un parche disponible, el malware vivo todavía puede estar en circulación.
Analizar esto en retrospectiva es fantástico, pero este ataque a la cadena de suministro no fue el primero. En 2017, Petya sacó provecho de este método, los usuarios de Asus Live Update sufrieron el mismo destino en 2019, y los correos electrónicos de phishing hace años que usan señuelos de actualizaciones de software para inducir a las personas a que descarguen malware.
Una vez que se prueba que una técnica funciona, con resultados dramáticos y que acaparan los titulares, le seguirán ataques de imitadores. Ya vimos como Kaseya, un proveedor de soluciones de TI irlandés, fue víctima de una técnica similar en el verano boreal de 2021, mediante la cual se infiltró malware a su herramienta de monitoreo remoto, lo que a su vez permitió que los atacantes accedieran a varios clientes finales.
"En consecuencia, en 2022 esperamos ver un aumento significativo en delincuentes imitadores que entreguen una variedad de malware mediante actualizaciones de software."
Un vistazo más de cerca a los vectores de ataque de software
Queda claro que tanto los estados nacionales como los grupos de hackers seguirán atacando a proveedores de la cadena de suministro de distintas industrias. Ya escribí sobre cómo la deuda técnica puede hacer que las organizaciones sean vulnerables. Eso es una cosa a considerar. Sin embargo, ¿cómo y dónde lanzarán sus nuevos ataques los delincuentes? ¿Qué otros vectores de ataque podrían verse vulnerados?
Si bien los ataques como Sunburst, los ataques de ransomware perpetrados por el grupo REvil como el que realizaron contra Kaseya y otros siguen captando la mayor atención, un ataque menos conocido de 2021 me resultó llamativo: las cuatro vulnerabilidades OMIGOD que afectaron al agente de software Open Management Infrastructure (OMI, Infraestructura de Gestión Abierta) en máquinas con el agente de Linux de Azure.
Los proyectos de código abierto siguen creciendo exponencialmente. Es cierto que la seguridad del software de código abierto mejoró drásticamente durante los últimos 10 años, y no hay duda de que las vulnerabilidades del software de código abierto se corrigen a un ritmo mucho más rápido. Esas son las buenas noticias. No obstante, también es cierto que los ataques a la cadena de suministro de código abierto están aumentando a una velocidad alarmante. En su informe sobre el Estado del software de la cadena de suministro de 2021 Sonatype estimó que ocurrieron 12 000 ataques a proyectos de código abierto, lo que representa un incremento del 650 % de un año al siguiente.
La prioridad competitiva que se da a la innovación y el enfoque implacable en acortar el tiempo de salida al mercado hace que las organizaciones grandes y pequeñas adopten proyectos de código abierto. Tanto las agencias gubernamentales como las organizaciones del ámbito privado sienten la presión de innovar e implementar proyectos de software a un ritmo cada vez mayor. Sin embargo, como dice el dicho “rápido y bien, no siempre marchan juntos”, y este apuro tiene un costo, especialmente desde la perspectiva de la ciberseguridad.
Por lo tanto, es imperativo que cada uno de nosotros, tanto en el sector público como en el privado, prioricemos la seguridad en cada uno de nuestros proyectos de código abierto. Sacar provecho del código abierto se trata en parte sobre la innovación y en parte sobre el tiempo de salida al mercado. No obstante, las organizaciones deben realizar la diligencia debida en muchas etapas a lo largo del proyecto. Eso significa llevar adelante muchas etapas de revisión del código tanto al comienzo de un proyecto como durante el desarrollo y el proceso de implementación. Efectivamente, no es una tarea fácil, y se vuelve todavía más complicada si se consideran las explotaciones de vulnerabilidades que pueden venir de parte de atacantes externos o por medio de recursos internos que trabajan en esos proyectos.
¿Cómo podemos protegernos?
Un arma clave en la lucha contra las actualizaciones de software maliciosas es abordar la deuda técnica. La deuda técnica consiste en la diferencia entre el “precio” (tiempo, recursos humanos, inversión en tecnología) que debe tener un proyecto técnico para ser perfecto y estar preparado para el futuro, y el “precio” que una organización está preparada para pagar en el momento. Los productos pueden verse demorados debido a una menor inversión, pero mucha de esta deuda se centra en torno a la aplicación de actualizaciones de software, que son absolutamente necesarias pero frecuentemente pasadas por alto.
Incluso si existe la posibilidad de que los atacantes (ya sea que se trate de estados nacionales o delincuentes con motivaciones financieras) puedan lanzar malware mediante actualizaciones de software, los administradores de TI deben asegurarse de aplicar las actualizaciones y los parches a medida que aparecen.
Si se acumula deuda técnica, las vulnerabilidades y los baches de seguridad brindarán una vía de acceso a los atacantes, y la combinación de las nuevas técnicas de entrega de malware sumadas a las vulnerabilidades sin corregir son motivo de preocupación.
Además, con el aumento del trabajo híbrido, los usuarios finales deben ser más responsables en lo que respecta a corregir y actualizar sus sistemas. Esto puede llevar a que no se apliquen las actualizaciones o que las apliquen personas no acostumbradas a la tarea, lo que significa que son más propensos a aceptar comportamiento que los equipos de TI detectarían como sospechoso. Los líderes deben garantizar que se implemente y actualice con regularidad la capacitación en ciberseguridad, para asegurarse de que los empleados actúen como la primera línea de defensa.
El de Solarwinds no fue el primer incidente en sacar ventaja de actualizaciones de software maliciosas y, con certeza, no será el último, pero con conciencia a nivel de toda la empresa y una administración de parches sólida, podemos aumentar nuestras defensas.
