Google ha revelado que observó 75 vulnerabilidades de día cero explotadas en la naturaleza en 2024, por debajo de 98 en 2023.
De los 75 días cero, el 44% de ellos se dirigieron a productos empresariales. Se identificaron hasta 20 fallas en software de seguridad y electrodomésticos.
“La explotación del día cero de navegadores y dispositivos móviles cayó drásticamente, disminuyendo en aproximadamente un tercio para los navegadores y a la mitad de los dispositivos móviles en comparación con lo que observamos el año pasado”, el Grupo de Inteligencia de Amenazos de Google (GTIG) dicho En un informe compartido con The Hacker News.
“Las cadenas de explotación compuestas por múltiples vulnerabilidades de día cero continúan siendo casi exclusivamente (~ 90%) utilizadas para dirigir dispositivos móviles”.
Mientras que Microsoft Windows representaron 22 de los defectos de día cero explotados en 2024, el safari de Apple tenía tres, iOS tenía dos, Android tenía siete, Chrome tenía siete y Mozilla Firefox tenía un defecto que fue abusado durante el mismo período. Tres de los siete días cero explotados en Android se encontraron en componentes de terceros.
Entre los 33 días cero explotados en software y electrodomésticos empresariales, 20 de ellos se dirigieron a productos de seguridad y red, como los de Ivanti, Palo Alto Networks y Cisco.
“Las herramientas y dispositivos de seguridad y de red están diseñados para conectar sistemas y dispositivos generalizados con altos permisos necesarios para administrar los productos y sus servicios, lo que los convierte en objetivos altamente valiosos para los actores de amenazas que buscan acceso eficiente en redes empresariales”, observaron los investigadores de GTIG.
En total, un total de 18 proveedores empresariales únicos fueron atacados en 2024, en comparación con 12 en 2021, 17 en 2022 y 22 en 2023. Las compañías con los días cero más específicos fueron Microsoft (26), Google (11), Ivanti (7) y Apple (5).
Además, la explotación del día cero de 34 de los 75 fallas se ha atribuido a seis grupos de actividad de amenazas amplias:
- Espionaje patrocinado por el estado (10), dirigido por China (5), Rusia (1) y Corea del Sur (1) (por ejemplo, CVE-2023-46805, CVE-2024-21887)
- Vendedores de vigilancia comercial (8) (por ejemplo, CVE-2024-53104, CVE-2024-32896, CVE-2024-29745, CVE-2024-29748)
- Grupos no motivados financieramente (5) (por ejemplo, CVE-2024-55956)
- Espionaje patrocinado por el estado y grupos motivados financieramente (5), todos de Corea del Norte (por ejemplo, CVE-2024-21338, CVE-2024-38178)
- Grupos no motivados financieramente estatales también realizan espionaje (2), todos de Rusia (por ejemplo, CVE-2024-9680, CVE-2024-49039)
Google dijo que descubrió en noviembre de 2024 un inyección malicioso de JavaScript en el sitio web de la Academia Diplomática de Ucrania (en línea.da.mfa.gov[.]UA), que activó un exploit para CVE-2024-44308, lo que resultó en la ejecución de código arbitraria.
Esto se encadenó con CVE-2024-44309, una vulnerabilidad de administración de cookies en WebKit, para lanzar un ataque de secuencias de comandos de sitios cruzados (XSS) y finalmente recopilar cookies de usuarios para el acceso no autorizado a login.microsoftonline[.]com.
El gigante de la tecnología señaló además que descubrió independientemente una cadena de exploits para los navegadores de Firefox y Tor que aprovechó una combinación de CVE-2024-9680 y CVE-2024-49039 para salir del Sandbox de Firefox y ejecutar el código malicioso con privilegios elevados, pavimentando la forma en que el despliegue de la Comcom CROMCOM CROMCOM.
La actividad, previamente marcada por ESET, se ha atribuido a un actor de amenaza llamado Romcom (también conocido como Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 y Void Rabisu). Google está rastreando el doble grupo de amenazas con motivos financieros y de espionaje con el nombre de cigarro.
Se dice que ambos defectos fueron abusados como un día cero por otro equipo de piratería probable que usó un sitio web de noticias de criptomonedas legítimo y comprometido como un abrevadero para redirigir a los visitantes a un dominio controlado por los atacantes que alojaba la cadena de exploits.
“La explotación del día cero continúa creciendo a un ritmo lento pero estable. Sin embargo, también hemos comenzado a ver el trabajo de los proveedores para mitigar la explotación de los días cero comienzan a dar sus frutos”, dijo Casey Charrier, analista senior de GTIG, en un comunicado compartido con Hacker News.
“Por ejemplo, hemos observado menos casos de explotación de día cero dirigidos a productos que han sido históricamente populares, probablemente debido a los esfuerzos y recursos que muchos grandes proveedores han invertido para evitar la explotación”.
“Al mismo tiempo, estamos viendo un cambio de explotación de día cero hacia la mayor orientación de productos centrados en la empresa, que requiere un conjunto de proveedores más amplio y más diverso para aumentar las medidas de seguridad proactivas. El futuro de la explotación de los días cero será dictado por las decisiones de los proveedores y la capacidad de contrarrestar los objetivos y los seguidores de los actores de amenazas”.
About the Author
