Un estudio reciente de GreyNoise revela una preocupante realidad en el panorama de ciberseguridad: los atacantes aprovechan vulnerabilidades en dispositivos perimetrales mucho antes de que estas sean divulgadas públicamente o se les asigne un identificador CVE.

Publicado el 31 de julio, el informe indica que en el 80% de los casos, se detecta actividad maliciosa —como escaneos, ataques de fuerza bruta o intentos de explotación— días o incluso semanas antes de que la vulnerabilidad sea revelada oficialmente. En algunos casos, los intentos de explotación ocurrieron hasta con seis semanas de antelación.

El análisis se centró en vulnerabilidades con una puntuación CVSS de 6 o más, especialmente aquellas relacionadas con dispositivos de borde (edge). Las actividades maliciosas se observaron con mayor frecuencia en dispositivos de ocho proveedores principales: Cisco, Citrix, Fortinet, Ivanti, Juniper, MikroTik, Palo Alto Networks y SonicWall. En total, se identificaron 216 picos de actividad previos a la divulgación pública de vulnerabilidades para estos proveedores.

La actividad previa como señal de advertencia

GreyNoise recomienda a los equipos de ciberseguridad considerar estos picos de actividad anticipada como alertas tempranas. Al monitorear cuidadosamente el tráfico inusual o patrones de reconocimiento, especialmente hacia dispositivos perimetrales, los defensores pueden ganar tiempo valioso para prepararse antes de que una vulnerabilidad sea conocida públicamente.

“La concentración de nuevas CVEs dentro de las seis semanas posteriores a los picos de actividad brinda a los defensores un marco temporal concreto para reforzar sistemas, monitorear más de cerca e incluso justificar inversiones anticipadas en seguridad”, señala el informe.

Los investigadores sugieren que los CISOs bloqueen proactivamente las direcciones IP asociadas con escaneos o ataques de fuerza bruta, incluso si esas IP no se usan en las etapas posteriores del ataque. Esta estrategia puede prevenir que las organizaciones sean incluidas en los inventarios de objetivos de los atacantes.

El informe también advierte que grupos patrocinados por estados nación, como los conocidos Typhoons, han centrado sus esfuerzos en dispositivos perimetrales empresariales para fines de posicionamiento inicial, vigilancia y acceso persistente.

Fuente: https://www.infosecurity-magazine.com/news/hackers-exploit-vulnerabilities