Actualización de las “20 vulnerabilidades más críticas”

Solucionando problemas

Hace ahora cuatro años, SANS Institute conjuntamente con el FBI publicó un documento donde se describían las diez vulnerabilidades de seguridad más críticas. En él se resumían los principales problemas de seguridad, aquellos que eran utilizados de forma más habitual en los ataques a sistemas informáticos.

El objetivo que perseguía la publicación de esa guía era conseguir que los administradores de sistemas hicieran los pasos necesarios para solventar esas diez vulnerabilidades más críticas. Con esto, además de mejorar el nivel global de seguridad de la red, se conseguiría evitar un elevado porcentaje de los incidentes, muchos de los cuales sacaban provecho de alguna de esas vulnerabilidades.

Pocos meses después, SANS actualizó la guía para incluir las 10 principales vulnerabilidades de los sistemas Windows y las 10 vulnerabilidades más habituales de los sistemas Unix. Así nació el documento “Las 20 vulnerabilidades más críticas”. Desde entonces, periódicamente se ha ido actualizando el documento, ampliando la información sobre los pasos a realizar para evitar las vulnerabilidades.

La edición de este año marca un cambio en la filosofía del documento. Ahora ya no se limita a las vulnerabilidades de Windows y Unix. Tampoco se describen las vulnerabilidades que podríamos denominar clásicas. La edición de este año informa sobre los problemas de seguridad que requieren una actuación inmediata por parte de los administradores de sistemas. A diferencia de otras versiones, no se describen vulnerabilidades que hoy pueden considerarse obsoletas, sino aquellas que realmente afectan a los sistemas informáticos, incluso si ya se había revisado su seguridad con una versión anterior del documento.

Para todas las vulnerabilidades, se incluye una documentación de la misma, explicando el alcance que puede tener en caso que un atacante logre utilizarla para atacar los sistemas afectados. También se describen las acciones a realizar para corregir la vulnerabilidad, que habitualmente pasa por la instalación de actualizaciones o parches de seguridad.

Las 20 vulnerabilidades

El documento de SANS Institute describe un total de 20 vulnerabilidades críticas. Se entiende como tal, un problema de seguridad que afecta a un número significativo de usuarios y/o sistemas. Además, para ser considerara crítica, la vulnerabilidad ha sido utilizada en los últimos meses de forma generalizada en algún tipo de ataque.

Las vulnerabilidades se dividen en cuatro grandes apartados: vulnerabilidades específicas de los ordenadores que utilizan el sistema operativo Windows, vulnerabilidades que pueden afectar a cualquier ordenador, vulnerabilidades específicas de sistemas Unix (incluyendo aquí los equipos con Mac OS X) y, por último, los problemas específicos de los productos de infraestructura de redes, como routers, cortafuegos, etc.

Vulnerabilidades de Windows

En los equipos que ejecutan Windows se describen un total de cinco apartados: servicios de Windows con problemas de seguridad, vulnerabilidades específicas de Internet Explorer, vulnerabilidades en bibliotecas DLL, vulnerabilidades de Microsoft Office y Outlook Express y debilidades ocasionadas por una configuración errónea del sistema operativo o de alguno de sus componentes.

Vulnerabilidades genéricas

Este apartado describe un total de 10 vulnerabilidades y cubre aspectos que pueden afectar, en teoría, a cualquier equipo con independencia del sistema operativo utilizado. Muchas de estas vulnerabilidades son producto de algunas tendencias del sector informático en los últimos años, tales como la consolidación de las copias de seguridad en servidores dedicados y la centralización de las defensas contra virus informáticos.

Otros problemas descritos en este apartado son aquellos provocados por la utilización de aplicaciones desarrolladas en PHP que heredan los problemas de seguridad identificados en la implementación del lenguaje; vulnerabilidades en los gestores de bases de datos o en servidores de servicios de Internet tales como el DNS.

El tercer grupo de vulnerabilidades analizado en esta sección incluye los problemas de algunas aplicaciones que se han convertido en habituales de los usuarios de Internet: reproductores multimedia, mensajería instantánea, navegadores web derivados de Mozilla. Finalmente se tratan vulnerabilidades de otras aplicaciones que pueden ejecutarse en diversos sistemas operativos.

Vulnerabilidades de Unix y Mac OS X

El tercer apartado describe las vulnerabilidades específicas de los sistemas Unix/Linux provocadas habitualmente por una configuración errónea o la utilización de versiones antiguas.

En este apartado se describen también las vulnerabilidades de Mac OS X, al considerar que el núcleo de este sistema operativo comparte problemática con el resto de sistemas Unix.

Vulnerabilidades de equipos de infraestructura de redes

Por último se documentan los principales problemas de seguridad de productos de electrónica de red, como routers y switches. También se incluyen las vulnerabilidades que afectan a sistemas de protección periférica, como cortafuegos y servidores de acceso remoto.

Identificación de las vulnerabilidades

El último apartado del documento indica una serie de productos y tecnologías existentes que pueden ayudar en la identificación de estas vulnerabilidades y la protección ante los posibles ataques.