Menos vulnerabilidades en Net Frameworks, pero …



Los atacantes continúan centrándose en los marcos world wide web y de aplicaciones, como Apache Struts y WordPress, luchando contra una disminución de las vulnerabilidades, según un análisis.

La cantidad de vulnerabilidades en los principales marcos de aplicaciones website ha disminuido desde su pico más reciente en 2016, pero los atacantes se han concentrado en explotar las debilidades en las plataformas de application, según un análisis publicado por la firma de ciberseguridad RiskSense el 16 de marzo.

El resultado es que, si bien los principales marcos como Apache Struts y plataformas como WordPress han visto menos vulnerabilidades generales, la tasa de armamento aumentó a 8.6% en 2019, excediendo la tasa de 3.9% para la Base de Datos Nacional de Vulnerabilidad en su conjunto. Los datos sugieren que, aunque los grupos y organizaciones responsables del mantenimiento de los marcos han mejorado en la seguridad del código, los atacantes siguen centrados en encontrar formas de utilizar el número aún menor de errores de seguridad para comprometer los servidores de aplicaciones web, dice Wade Williamson, un investigador de RiskSense.

«Los marcos de aplicaciones net son el último código al que las personas prestan atención», dice. «Pero están conectados a Online, hay muchos de ellos y son fáciles de encontrar una vez que están disponibles».

Los datos sugieren que las empresas deberían hacer un balance de sus marcos de aplicaciones net desde el punto de vista de la seguridad. Investigaciones anteriores han demostrado que el sitio internet típico es escaneado por ataques automatizados que apuntan a vulnerabilidades explotables docenas de veces al día.

Debido a que los desarrolladores generalmente no van a ayudar a mantener el marco genuine, y la producción de parches para marcos de aplicaciones net puede minar una gran cantidad de productividad del desarrollador, seleccionar la plataforma adecuada para las aplicaciones world-wide-web de una empresa es extremadamente importante, dice Williamson.

«No importa qué tan bueno sea un desarrollador, si hay una vulnerabilidad en su marco, su aplicación será vulnerable», dice. «Como desarrollador y organización, elegir un marco es un gran problema, es en lo que dependerá la seguridad de sus aplicaciones».

Mientras que la tasa de explotación – o armamento, como lo llama RiskSense – ha aumentado, el número absoluto de exploits no ha aumentado mucho. El aumento en la tasa de armamento se debe más a la caída de las vulnerabilidades en los marcos en normal, una señal positiva.

Sin embargo, WordPress, Apache Struts y Drupal, junto con sus lenguajes principales PHP y Java, continúan teniendo las tasas más altas de armamento, dice Williamson.

«Hemos visto problemas muy diferentes en los últimos cinco años en comparación con los últimos 10, pero a pesar de que eso cambió, los problemas con las armas todavía estaban en los mismos lugares», dice. «Los puntos calientes se mantuvieron igual».

No es solo una medida de su popularidad o de la edad del marco, agrega. Apache Struts, por ejemplo, está disminuyendo en popularidad pero ha tenido un número significativo de vulnerabilidades,

«Creo que Apache Struts es uno de los primeros marcos de trabajo que yo, como desarrollador, consideraría alejarme», dice. «No se trata solo de quién tiene la huella más amplia, porque los atacantes siguen siendo muy activos en la investigación de ciertos marcos, incluso cuando su popularidad disminuye».

Los marcos de Python se han vuelto muy populares y tanto el número de vulnerabilidades encontradas en marcos populares, como Django y Flask, como las tasas de armamento han sido muy bajas.

JavaScript también se ha vuelto cada vez más analizado por los investigadores, con muchas más vulnerabilidades descubiertas. Pero hasta ahora, solo un problema en el marco Node.js ha sido explotado en los últimos cinco años, según los datos de RiskSense.

Sin embargo, los marcos de aplicaciones internet han evolucionado con el tiempo, al igual que las vulnerabilidades que han encontrado los atacantes. En 2010, las secuencias de comandos entre sitios, la validación de entrada y los errores de permisos encabezaron la lista de problemas de seguridad informados. En 2019, los tres problemas principales fueron validación de entrada, exposición de información y regulate de acceso. Las secuencias de comandos entre sitios se han reducido al quinto problema más explotado.

Desde el punto de vista de la vulnerabilidad, los marcos basados ​​en Python y JavaScript parecen tener la menor cantidad de vulnerabilidades y la menor cantidad de vulnerabilidades armadas, y tal vez esos marcos deberían considerarse cada vez más, dice Williamson.

«Actualizar los marcos es un poco complicado y arriesgado para los desarrolladores porque a medida que avanzas de una versión a otra, debes mantener tus cambios», dice. «Entonces, para mí, la elección del marco es de riesgo y el nivel de mantenimiento que puede tolerar».

contenido relacionado

Revisa El borde, La nueva sección de Darkish Reading para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Más allá del agotamiento: ¿qué nos está haciendo la ciberseguridad?«

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Looking through, MIT&#39s Technological know-how Evaluate, Well-known Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más suggestions





Enlace a la noticia primary