El parche masivo de Oracle revierte la tendencia de la compañía …



Después de un año que vio la menor cantidad de vulnerabilidades reportadas desde 2015, el último parche trimestral de Oracle corrige casi 200 nuevas vulnerabilidades.

El martes, seis compañías de software diferentes lanzaron soluciones para sus aplicaciones, pero quizás la más preocupante fue el lanzamiento de Oracle de una actualización masiva de parches críticos (CPU) que cierra 334 vulnerabilidades de software diferentes, estableciendo un récord para los parches trimestrales de la compañía.

Sin embargo, el recuento, proporcionado por el Departamento de Seguridad Nacional de los Estados Unidos (DHS), que instó a las empresas a parchear rápidamente, se refiere a cada vulnerabilidad corregida por la actualización. Si bien hay 334 problemas solucionados por la CPU de Oracle, «solo» 198 son nuevos a partir del 14 de enero, dice Brian Martin, vicepresidente de inteligencia de la empresa de información sobre vulnerabilidad Chance Based Stability.

«Las CPU contendrán un número significativo de vulnerabilidades previamente divulgadas, a menudo en bibliotecas de terceros», dice Martin, y agrega que «el impacto de la advertencia de la CPU ciertamente está ahí, pero cualquier organización con inteligencia de vulnerabilidad decente tendrá una ventaja en cuanto a conocer algunos de los riesgos «.

Si bien 198 nuevas vulnerabilidades no son un récord para Oracle, la actualización masiva revierte una tendencia a la baja para la compañía. Las actualizaciones críticas de parches (CPU) de Oracle acumularon entre 122 y 206 vulnerabilidades en cada uno de los últimos siete trimestres, según datos de RBS. Sin embargo, el año pasado la compañía vio la menor cantidad de vulnerabilidades reportadas en los últimos cuatro años, con 644 vulnerabilidades, como lo representan sus identificadores de Enumeración de Vulnerabilidad Común (CVE). publicado en la Base de datos nacional de vulnerabilidad, en comparación con un pico de 893 vulnerabilidades en 2017.

De hecho, los números disminuyeron tanto, alcanzando un mínimo trimestral de 122 para la CPU de octubre de 2018, que los expertos se preguntaron si Oracle había logrado eliminar los problemas más fáciles de encontrar, dice Martin de RBS. Él ve el último pico como una tendencia contraria a la tendencia, pero no pudo decir hacia dónde se dirige la tendencia.

En el aviso del 14 de enero, Oracle advirtió a sus clientes que algunos de los parches arreglados por sus actualizaciones de software estaban siendo utilizados por los atacantes para comprometer los sistemas. En lugar de señalar una nueva tendencia, la explotación de algunos de los defectos en la actualización masiva subraya un problema que los administradores de Oracle enfrentan habitualmente.

«Oracle continúa recibiendo periódicamente informes de intentos de explotación maliciosa de vulnerabilidades para las cuales Oracle ya ha lanzado parches de seguridad», dijo la compañía. declarado en su aviso. «En algunos casos, se ha informado que los atacantes han tenido éxito porque los clientes objetivo no pudieron aplicar los parches de Oracle disponibles. Por lo tanto, Oracle recomienda encarecidamente que los clientes permanezcan en versiones con soporte activo y apliquen parches de seguridad de actualización de parches críticos sin demora».

Los parches deben aplicarse rápidamente, lo que generalmente es una decisión fácil para la mayoría de las empresas, dice Sebastian Bortnik, director de investigación de la firma de seguridad de aplicaciones empresariales Onapsis.

«El proceso de parche no es tan straightforward como algunas otras plataformas, pero una vez que lo haces, obtienes todos los parches al mismo tiempo», dice, «por supuesto, tienes que probar los parches porque la mayoría de las aplicaciones de las empresas tienen mucho código personalizado «.

La forma más eficiente de implementar la CPU es aplicarla a un sistema de preproducción y probarlo antes de ponerlo en funcionamiento, dice Bortnik. «Si bien muchos clientes querrán probar completamente los parches, organizar el parche para la preproducción puede funcionar para algunos clientes», dice. «Pensando en el proceso de prueba para millones de líneas de código personalizado, esta puede ser la mejor manera de manejarlo».

El lanzamiento se produjo el día en que varias de las principales firmas de program, Microsoft, Adobe y SAP, también lanzaron sus actualizaciones de seguridad. La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) del DHS marcó el lanzamiento el 14 de enero, advirtiendo que un «atacante remoto podría explotar algunas de estas vulnerabilidades para tomar el handle de un sistema afectado» y alentando a las empresas a «aplicar las actualizaciones necesarias».

Es probable que tanto el creciente número de aplicaciones que Oracle tiene en desarrollo como el creciente interés de los investigadores de seguridad en tales aplicaciones empresariales continúen generando más informes de vulnerabilidad para que la empresa los evalúe.

«Con una cartera de software package en crecimiento, eso también significa que más evaluadores de pen y empleados con acceso a ese application y la capacidad de probar podrían causar un cambio en los números, pero también podemos ver cierta caída del program en los recuentos de vulnerabilidades debido a la falta de interés o agotamiento algunas de las vulnerabilidades bajas «, dice Martin de RBS.

¿El número seguirá aumentando este año? «La respuesta … es un rotundo tal vez», dice.

Contenido relacionado:

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Reading, MIT&#39s Technological innovation Review, Well-liked Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más concepts





Enlace a la noticia first