Documentos de Académico
Documentos de Profesional
Documentos de Cultura
✓ Reducir el daño
✓ Presumir benevolencia
✓ Evitar sorpresas OJO!! La ausencia de
evidencia no significa
✓ Incentivar el comportamiento deseado evidencia de ausencia
✓ Consideraciones éticas
✓ Mejora de los procesos
Vulnerability Disclosure – Fases y actores
Validación y Publicación /
Descubrimiento Reporte Remediación
Triage Comunicación
✓ Finder
✓ Reporter
✓ Vendor / Fabricante
✓ Coordinador
✓ Deployer
Tipos de Disclosure de vulnerabilidades
✓ No disclosure: el fabricante u organización no revela a nadie la vulnerabilidad que le fue
revelada y no permite que el investigador (Finder) lo revele
✓ Full Disclosure: el fabricante, organización y/o investigador publica todos los detalles
conocidos de la vulnerabilidad, en muchos casos, incluido una prueba de concepto
https://resources.sei.cmu.edu/asset_files/SpecialReport/2017_003_001_503340.pdf
https://cheatsheetseries.owasp.org/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet.html
Algunas estadísticas y números
➢ Un promedio de 52 nuevas vulnerabilidades únicas son conocidas diariamente por la
industria / comunidad
➢ Un promedio diario de 186 vulnerabilidades se actualiza sus detalles
➢ Tiempo promedio entre el reporte de la vulnerabilidad y la publicación de un parche es de
9 días
➢ Regla 80/20 – el 20% de las vulnerabilidades generan el 80% del riesgo
PRIORIZACIÓN
https://www.fireeye.com/blog/threat-research/2020/04/time-between-
disclosure-patch-release-and-vulnerability-exploitation.html
Common Vulnerabilities and Exposure
CVE es un sistema estándar de identificación único de vulnerabilidades conocidas
Formato:
● CVE-YYYY-NNNN donde YYYY= año y NNNN= número de vulnerabilidad
● El formato para las entradas candidatas a entrar en el CVE es: CAN-YYYY-NNNN
Ejemplo: CVE-2012-4608, CVE-2017-16537 , CVE-1999-0095
➢ Definido y mantenido por The MITRE Corporation con fondos de la National Cyber Security
Division del gobierno de EEUU.
➢ La información y nomenclatura de esta lista es usada en la National Vulnerability Database
(NIST).
Escala CVSS
Sistema de métrica utilizado para estimar el impacto de una vulnerabilidad de
acuerdo a las cualidades de la misma
Dimensiones de medición:
● Base: Engloba las cualidades intrínsecas de una vulnerabilidad y que son independientes del
tiempo y el entorno.
● Temporal: Características de la vulnerabilidad que cambian en el tiempo.
● Environmental: Características de la vulnerabilidad relacionadas con el entorno del usuario.
➢ El valor CVSS Base representa la criticidad de una vulnerabilidad en el peor escenario posible
➢ El valor CVSS Environmental de una vulnerabilidad debe ser calculado por cada organización
y por cada sistema afectado.
Métricas CVSS v3.1
Métricas CVSS - BASE
Base: mide las cualidades intrínsecas de una vulnerabilidad, independientes del tiempo y del entorno.
● Access Vector (AV). Valores: [P,L,A,N] (Physical, Local, Adjacent, Network)
● Especificación: https://www.first.org/cvss/specification-document
● Guía de Uso: https://www.first.org/cvss/user-guide
● Calculadora CVSS: https://www.first.org/cvss/calculator/3.1
Vector String: Es la representación en texto en forma concisa del conjunto de métricas CVSS
Curso gratuito:
https://learning.first.org/courses/course-v1:FIRST+CVSSv3+2017/about
Vector String
Ejemplo: CVE-2019-0708 (BlueKeep)
Vulnerabilidad de ejecución remota de código en los Servicios de escritorio remoto anteriormente conocidos como
Terminal Services, que se produce cuando un atacante no autenticado se conecta al sistema de destino mediante
RDP y envía solicitudes especialmente diseñadas, permitiendo la ejecución arbitraria de código.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Ejemplo de medición con CVSS
➢ El éxito de la explotación depende de que el usuario abra el archivo con el programa vulnerable
Privilegios requeridos
Privilegios requeridos en el ejemplo
➢ No se requiere ningún privilegio especial, no es necesario que se esté utilizando un usuario administrador
ni de ningún tipo especial
Alcance