WordPress y Apache Struts representan el 55% de todas las vulnerabilidades armadas


frameworks-explotación.png

Imagen: RiskSense

Un estudio que analizó todas las revelaciones de vulnerabilidades entre 2010 y 2019 encontró que alrededor del 55% de todos los errores de seguridad que se han armado y explotado en la naturaleza fueron para dos marcos de aplicaciones principales, a saber, WordPress y Apache Struts.

El sistema de gestión de contenido de Drupal ocupó el tercer lugar, seguido de Ruby on Rails y Laravel, según un informe publicado esta semana por la firma de análisis de riesgos RiskSense.

En términos de lenguajes de programación, las vulnerabilidades en aplicaciones PHP y Java fueron los errores más armados de la última década.

Vigile Node.js y Django

Lo menos fueron errores en JavaScript y Python, pero RiskSense anticipa que esto cambiará en los próximos años ya que ambos idiomas se han vuelto ampliamente y muy populares, y su adopción ahora se ha disparado.

Más específicamente, los usuarios y las empresas de seguridad deberían vigilar Node.js y Django, los dos marcos de aplicaciones más populares para los ecosistemas JavaScript y Python, respectivamente.

«Node.js tenía un número notablemente mayor de vulnerabilidades que otros marcos de JavaScript con 56 vulnerabilidades, aunque solo una ha sido armada hasta la fecha», dijo RiskSense.

«Asimismo, Django tenía 66 vulnerabilidades con solo una armada.

«Si bien la fabricación de armas sigue siendo baja, la gran cantidad de vulnerabilidades en estos marcos los deja abiertos a la posibilidad de riesgo», dijo RiskSense, anticipando que los piratas informáticos dirigirán su mirada hacia las nuevas estrellas emergentes del mundo de la programación y buscarán armas de errores más antiguos en intenta comprometer las aplicaciones actuales de JavaScript y Python.

Y en sintonía con las tendencias de programación de la última década, RiskSense también señaló que Perl y Ruby, lenguajes de programación que eran populares a principios de la década de 2010, ahora han visto cada vez menos exploits armados a medida que la década terminaba, y a medida que los programadores se movían a JavaScript y Python

Las vulnerabilidades de inyección son las más buscadas

Pero los investigadores de RiskSense no solo observaron qué errores de aplicación estaban siendo armados. También observaron los tipos de vulnerabilidad.

Según el equipo de investigación, si bien los errores de scripting entre sitios (XSS) fueron los errores de seguridad más comunes revelados en la década de 2010, no fueron los más armados.

Ese título va a las vulnerabilidades «basadas en inyección», que pueden ser abusadas para permitir que los hackers inyecten y ejecuten sus propios comandos en el contexto de la aplicación o el sistema operativo de la víctima.

«Las vulnerabilidades vinculadas a la inyección de SQL, las inyecciones de código y varias inyecciones de comandos seguían siendo bastante raras, pero tenían algunas de las tasas de armamento más altas, a menudo superiores al 50%», dijo el equipo de RiskSense.

«De hecho, las 3 principales debilidades por tasa de armamento fueron Inyección de Comando (60% armado), Inyección de Comando OS (50% armado) e Inyección de Código (39% armado)», agregaron los investigadores.

Los lectores interesados ​​en aprender más sobre las tendencias de armas de vulnerabilidad durante la última década pueden obtener más información en Informe de 22 páginas de RiskSense, titulado «Grietas en la Fundación: vulnerabilidades en el marco net y de aplicaciones».



Enlace a la noticia authentic