Volumen de vulnerabilidades preparado para abrumar a los equipos de Infosec



La colisión de los parches de Microsoft y Oracle el mismo día ha contribuido a generar riesgos y estrés para las organizaciones.

Las divulgaciones de vulnerabilidad para 2020 están en camino de alcanzar o superar el número divulgado en 2019, informan los investigadores, y el momento de estas divulgaciones de errores podría resultar arriesgado y estresante para los equipos de seguridad.

El equipo VulnDB de Hazard Dependent Protection acumuló 11,121 vulnerabilidades durante la primera mitad de este año, afirman los investigadores en su «Informe de vista rápida de vulnerabilidades de mitad de año de 2020. «El primer trimestre de 2020 vio una disminución en la cantidad y un aumento en la gravedad de las fallas reveladas. Las tendencias indican que las cifras están volviendo a la normalidad, aunque con algunos factores importantes que las impulsaron rápidamente.

Uno de ellos es la ocurrencia de divulgaciones por parte de Microsoft y Oracle el mismo día. Estos eventos han sido responsables de 818 revelaciones de fallas, o el 7.3% del recuento full para 2020. Los investigadores los llaman «Vulnerabilidad Fujiwhara» y son raros. Dos ocurrieron en 2015 los dos siguientes se producirán en 2025, una conclusión basada en lanzamientos de parches predecibles de los principales proveedores.

Este año trajo tres de ellos: 14 de enero, 14 de abril y 14 de julio.

«La tendencia durante el último año o dos es que se revelan más vulnerabilidades el martes de parches que cualquier otro día del mes», dice Brian Martin, vicepresidente de inteligencia de vulnerabilidades en Threat Based Security. «Es un año sobresaliente en lo que respecta al patrón».

Si bien Patch Tuesday comenzó con Microsoft, pronto siguieron otras compañías. Adobe comenzó a lanzar parches el mismo día de 2012 desde entonces, se han unido SAP, Siemens y Schneider Electric powered. A veces, otros proveedores, como Apple, Mozilla, Intel y Cisco, lanzarán arreglos el mismo día. El 14 de abril, se informaron 506 nuevas vulnerabilidades, el 79% de las cuales provienen de siete proveedores. El 14 de julio vio 491 divulgaciones, con un 67% de Microsoft y Oracle solamente.

«Quinientas vulnerabilidades en un día es absolutamente brutal para cualquier organización que ejecute las tres plataformas y sistemas de computer software en su organización», dice Martin sobre Microsoft, Oracle y Adobe.

El número de vulnerabilidades de Microsoft reveladas aumentó en un 150% en comparación con el año pasado, señalan los investigadores en el informe. Podría haber varios factores para el pico, señala Martin. Microsoft se ha vuelto más receptivo a los informes de errores y se ha comprometido con la comunidad de investigadores. Su base de código de Windows 10 es más grande que Windows 7, lo que crea más espacio para fallas subyacentes.

Oracle es el siguiente más alto con 612 divulgados, seguido de Google (563), Crimson Hat (550), SUSE (519), IBM (446), Dell (430), Cisco (376), Canonical (363) y Software program en el Interés público (293).

Los productos con la mayoría de los errores incluyen Windows 10 (478), openSUSE Leap (464), Windows Server 2019 (436), Canal semianual de Home windows Server (425), Home windows Server 2016 (366), Ubuntu (362), Purple Hat Company Linux (353), dispositivos Google Pixel / Nexus (314) y Debian Linux (292). Martin señala que los entornos Linux pueden tener un tiempo de parcheo más fácil que las tiendas de Windows: las organizaciones de Windows 10 tuvieron constantemente menos días de divulgación, pero mucho más altos. Aquellos que usan OpenSUSE Leap vieron pocos picos en una gran cantidad de divulgaciones, lo que obligó a los administradores a ser más proactivos en cuanto a parches frecuentes.

El aumento de las divulgaciones de vulnerabilidades dificulta las cosas para los equipos de seguridad, que sin duda se verán abrumados cuando llegue el martes de parches. Microsoft hace muchas pruebas, señala Martin, pero no puede probar todas las configuraciones o posibilidades. Como resultado, las empresas deberán realizar las pruebas de parche por sí mismas.

«Pueden pasar días o semanas antes de que se les dé luz verde para comenzar a instalar los parches en la crimson de producción», dice. «Todos contribuyen a una creciente ventana de vulnerabilidad».

Los equipos están bajo presión para clasificar, probar e implementar parches en el menor tiempo posible, sabiendo que los malos también están compitiendo para escribir un exploit. Con el aumento de errores que abordar, lo que antes tomaba horas, ahora podría tomar un día completo.

En el primer trimestre de 2020, el número de vulnerabilidades reveladas había disminuido considerablemente. El instinto es culpar al COVID-19, dice Martin, pero es imposible decir si ese es el caso. Muchas empresas recortaron presupuestos y personalized hacia el comienzo de la pandemia. Es posible que priorizaran la corrección de errores en lugar de revelarlos. Como resultado, los avisos no se comparten.

Otro variable que impulsa el cambio es dónde los investigadores revelan. Hace veinte años, cada defecto pasó por un par de listas de correo o sitios website. Ahora los investigadores tienen el desafío de rastrear los muchos blogs, repositorios de GitHub y otras fuentes donde se comparten nuevas fallas.

Con el tiempo, Martin espera que las cifras sigan aumentando a medida que se descubran más fuentes. Para el tercer trimestre y fin de año, cree que el recuento volverá a la normalidad, si no más.

«Hay mucha motivación para encontrar vulnerabilidades y siempre desea encontrarlas en productos que tienen una implementación muy alta o una alta visibilidad y perfil», agrega.

Windows es un ejemplo perfecto para un uso amplio y SCADA para un perfil alto. Si bien la mayoría de las organizaciones no usan los sistemas SCADA por sí mismos, todos confían en ellos.

Kelly Sheridan es la editora de personal de Dark Examining, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first