Los cortafuegos tradicionales se encuentran entre las capas de defensa más utilizadas —y en las que más se confía— en las estrategias de ciberseguridad de las redes de tecnología operativa (OT). Sin embargo, la creencia de que el mero hecho de contar con un cortafuegos garantiza la seguridad es errónea. Los cortafuegos, aunque están diseñados para actuar como guardianes, no son inmunes a las vulnerabilidades. En este blog, analizamos siete casos concretos en los que la presencia de un cortafuegos, aunque se percibía como el eje central de una estrategia de seguridad, se convirtió inadvertidamente en una vía para que los actores maliciosos obtuvieran acceso no autorizado a una red.
¿Qué es un CVE?
Un CVE (Common Vulnerability and Exposure) es un identificador estandarizado para una vulnerabilidad o deficiencia de seguridad en software, hardware o firmware. Los CVE se utilizan para identificar y realizar un seguimiento de estas vulnerabilidades de forma unívoca, lo que facilita a las organizaciones, los investigadores de seguridad y los proveedores compartir información sobre problemas de seguridad y coordinar sus esfuerzos para mitigarlos.
7 vulnerabilidades CVE destacadas que afectaron a los cortafuegos
CVE-2020-3580
Descripción: Se ha identificado una vulnerabilidad en la interfaz de servicios web Software Cisco Adaptive Appliance (ASA) Software Software Cisco Firepower Threat Defense (FTD).
Daños potenciales: Esta vulnerabilidad podría permitir a un atacante remoto no autenticado llevar a cabo ataques de recorrido de directorios, lo que le permitiría leer archivos confidenciales en el sistema afectado.
Enlace:CVE-2020-3580
CVE-2019-1579
Descripción: Se ha detectado una vulnerabilidad en Palo Alto Networks PAN-OS anterior a las versiones 8.1.10 y 9.0.0.
Daños potenciales: Los atacantes remotos podrían aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios del sistema operativo, lo que les permitiría tomar el control total del sistema afectado.
Enlace:CVE-2019-1579
CVE-2018-6721
Descripción: Se ha detectado una vulnerabilidad en SonicOS de SonicWall.
Daños potenciales: Los atacantes remotos podrían aprovechar esta vulnerabilidad para provocar una denegación de servicio (DoS) mediante paquetes fragmentados especialmente diseñados, lo que afectaría a la disponibilidad del sistema.
Enlace:CVE-2018-6721
CVE-2017-5638
Descripción: Una vulnerabilidad en las versiones de Apache Struts 2 anteriores a la 2.3.32 y en las versiones 2.5.x anteriores a la 2.5.10.1.
Daños potenciales: Esto permitía a los atacantes llevar a cabo ataques de ejecución remota de comandos mediante un valor de «Content-Type» manipulado, lo que podía dar lugar a fugas de datos o a una mayor explotación de la red.
Enlace:CVE-2017-5638
CVE-2016-0801
Descripción: Se ha identificado una vulnerabilidad en Software Cisco ASA Software en determinados productos Cisco ASA.
Daños potenciales: Los atacantes remotos podrían aprovechar esta vulnerabilidad para ejecutar código arbitrario o provocar la reinicio del sistema, lo que podría dar lugar a la compromisión del sistema o a un tiempo de inactividad.
Enlace:CVE-2016-0801
CVE-2014-0160 (Heartbleed)
Descripción: Una vulnerabilidad grave en la extensión Heartbeat de TLS de OpenSSL.
Daños potenciales: El fallo Heartbleed permitía a los atacantes leer la memoria de los sistemas protegidos por versiones vulnerables de OpenSSL, lo que podía provocar la filtración de información confidencial, como contraseñas, claves privadas y otros datos.
Enlace:CVE-2014-0160
CVE-2012-4681
Descripción: Una vulnerabilidad que afecta a Oracle Java 7 anterior a la actualización 7.
Daños potenciales: Permitía a los atacantes ejecutar código arbitrario de forma remota a través de vectores relacionados con la API Reflection, lo que podía dar lugar a la compromisión del sistema.
Enlace:CVE-2012-4681
Seguridad de red OT sin concesiones
Los cortafuegos tradicionales siguen siendo fundamentales para definir el marco de seguridad de la tecnología operativa (OT) de las organizaciones, y sigue siendo crucial comprender y abordar sus vulnerabilidades inherentes. Sin embargo, es evidente que, aunque los cortafuegos no están en absoluto obsoletos, confiar únicamente en su protección no ofrece una defensa adecuada frente a las amenazas emergentes. La implementación de una verdadera estrategia de defensa en profundidad centrada en una Unidirectional Security Gateway un diodo de datos en su DMZ garantiza que los datos puedan circular estrictamente en una sola dirección. Esta aplicación física significa que los datos pueden enviarse sin riesgo alguno de que entren a cambio datos o comandos maliciosos. En este caso, incluso si existiera una vulnerabilidad de software, la naturaleza física de estas pasarelas de seguridad impone un perímetro de defensa contra la amenaza, aislando su red de la exposición.
Más información:Diodos de datos frente a cortafuegos: comparación de la seguridad de la red, el flujo de datos y el cumplimiento normativo

MetaDefender NetWall: pasarela de seguridad de última generación y Optical Diode
Teniendo en cuenta este tipo de vulnerabilidades, OPSWAT desarrollado NetWall, nuestra serie de puertas de enlace de seguridad avanzadas y diodos ópticos, para proteger los entornos críticos de tecnología operativa (OT) frente al cambiante panorama de amenazas. Disponible en una variedad de configuraciones y formatos, NetWall diseñado para simplificar las complejidades de la seguridad de red como una solución fácil de usar, escalable y segura.
Descubre por qué NetWall confianza a nivel mundial para proteger algunos de los entornos más críticos del mundo

