Microsoft, Oracle y Google listan las principales empresas con la mayoría de las vulnerabilidades reveladas en el segundo trimestre


Dos días representaron 818 vulnerabilidades, o el 7,3% de las divulgaciones de mitad de año hasta ahora, según un nuevo informe.

security.jpg

iStock / weerapatkiatdumrong

El número de vulnerabilidades reveladas por las principales empresas de tecnología está volviendo a niveles normales después de un primer trimestre más bajo de lo habitual, debido en gran parte a la interrupción de la pandemia de coronavirus.

Pero en el Informe de vista rápida de vulnerabilidades de mitad de año de 2020, los analistas del equipo VulnDB de Risk Based Security criticaron la tendencia ahora popular de empresas que publican públicamente todas sus últimas vulnerabilidades el mismo día, llamando estos días "Vulnerabilidad Fujiwhara. "

De las 11,121 vulnerabilidades publicadas durante la mitad de año, 818 se descartaron en tan solo unos días. Hubo 312 vulnerabilidades publicadas el 14 de enero, 508 el 14 de abril y 263 el 9 de junio. Hubo cuatro días más este año cuando se lanzaron al menos 187 vulnerabilidades.

VER: Calendario editorial de TechRepublic Premium: políticas de TI, listas de verificación, kits de herramientas e investigación para descargar (TechRepublic Premium)

"Sabíamos que estos eventos sin duda se convertirían en una tensión significativa para el personal de TI y los administradores de vulnerabilidades. En comparación con otros martes de parches de este año, las más altas reportadas 'solo' 273 nuevas vulnerabilidades", dijo Brian Martin, vicepresidente de inteligencia de vulnerabilidades en Risk Based Seguridad.

"Sin embargo, durante el evento de Fujiwhara de abril vimos 508 nuevas vulnerabilidades reportadas, el 79% de las cuales provienen de siete proveedores. Desafortunadamente para todos nosotros, esto es probablemente lo que podemos esperar que ocurra con más frecuencia en el futuro. El gran volumen hace que uno se pregunte que realmente se beneficia de esta revelación de vulnerabilidades de una sola vez. Ciertamente no los clientes que pagan ".

A pesar de las más de 11.000 vulnerabilidades reveladas en el primer semestre del año, el número representó una disminución del 8,2% en comparación con el mismo período en 2019. Pero el segundo trimestre del año mostró que las cosas están volviendo lentamente a la normalidad después de unos pocos meses tumultuosos porque de COVID-19.

Los investigadores con seguridad basada en riesgos escribieron en el informe que una de las tendencias más alarmantes es la falta de ID de CVE. De las vulnerabilidades reveladas durante el primer semestre de 2020, el 30% no tenía un CVE ID y otro 3% está en estado reservado incluso con su CVE ID, lo que significa que no hay información disponible al respecto.

Pero la mayor parte del informe se centra en la vulnerabilidad Efecto Fujiwhara y las empresas que revelan el mayor número de vulnerabilidades. Hubo tres días en 2020, el 14 de enero, el 14 de abril y el 14 de julio, que según el informe se han convertido en "un evento importante en la vida del personal de TI".

"Estos eventos de Fujiwhara son típicamente raros, pero en 2020 se vieron tres de ellos: 14 de enero, 14 de abril y 14 de julio. Los dos últimos eventos de Fujiwhara observados antes de 2020 ocurrieron en 2015 y los dos siguientes se verán en 2025, a partir de enero 14. Eso ilustra cuán poco frecuentes son estos eventos y por qué se destacan como un punto de estrés y riesgo adicional para las organizaciones ", dijo el informe.

"También es importante tener en cuenta que el único evento de Fujiwhara de 2015 registró un total de 277 vulnerabilidades reveladas de todos los informes de ese día, menos de la mitad de lo que vimos en el Fujiwhara de abril de este año. Durante el evento de Fujiwhara de abril vimos 506 nuevas vulnerabilidades reportadas, El 79% provino de siete proveedores. En comparación con otros martes de parches de este año, el 9 de junio, el 9 de junio, el más alto reportó "solo" 273 nuevas vulnerabilidades ".

El informe predice que estos incidentes de Fujiwhara y el mayor número de vulnerabilidades se convertirán en la norma, pero los investigadores cuestionaron si los días estaban haciendo un flaco favor a los equipos de TI que tal vez no pudieran manejar la gran cantidad de vulnerabilidades.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Los investigadores también notaron lo absurdo de que los proveedores creen el software vulnerable que pone en riesgo a sus clientes que pagan mientras se deshacen de todas las divulgaciones en los mismos días, creando la circunstancia que agrega un riesgo adicional.

"Los equipos de seguridad de TI y los administradores de vulnerabilidades que se ocupan de la reducción de personal y presupuestos seguramente tendrán dificultades para clasificar y evaluar el gran volumen de problemas revelados en un solo día. Cientos de vulnerabilidades se están revelando en un corto período de tiempo, y la mayoría de ellas provienen de proveedores importantes como Microsoft y Adobe, que afectan a productos de uso generalizado ", dice el informe.

"Para empeorar las cosas, la misión CVE ha permanecido estancada, lo que significa que las organizaciones que dependen de CVE / NVD para la inteligencia de vulnerabilidades, no recibirán la ayuda que tanto necesitan para identificar y priorizar las vulnerabilidades que se consideran críticas. Si este año nos ha enseñado cualquier cosa, es que necesitamos inteligencia de vulnerabilidad integral y la necesitamos ahora si queremos sobrevivir a la tormenta que se avecina y crece ".

Microsoft fue una de las primeras empresas en realizar eventos "Patch Tuesday", pero Adobe finalmente comenzó a unirse a ellos en 2012 y otras empresas como SAP, Siemens y Schneider Electric también han decidido unirse. Apple, Mozilla, Intel, Cisco y otros también han comenzado a revelar vulnerabilidades el mismo día en un esfuerzo por "hacerlo más conveniente".

El problema es tan grave que este año, solo dos días vieron 818 vulnerabilidades divulgadas, lo que representa el 7,3% de las divulgaciones de mitad de año. Si se incluye el día de Fujiwhara en julio, tres días representarían el 10,5% de todas las vulnerabilidades de 2020, el 13% si se tiene en cuenta el día siguiente para cada una.

Si bien estos días se crearon originalmente para aliviar la tensión en los equipos de TI, han tenido el efecto contrario, dando a los malos actores un tesoro de vulnerabilidades recién lanzadas para explotarlas todas en el mismo día, según el informe. El estudio agrega que en este punto, los proveedores de software pueden ver estos días de Fujiwhara como una forma de ocultar sus vulnerabilidades dentro del caos de cientos de otras vulnerabilidades.

En el segundo trimestre de 2020, Microsoft vio específicamente un aumento del 150% en las vulnerabilidades divulgadas en comparación con el mismo período del año pasado con 762 divulgaciones. El número es mucho más alto que el de cualquier otro proveedor, incluidos Oracle y Linux / Red Hat. Oracle tenía 612 vulnerabilidades en total, 420 de las cuales provenían de los dos eventos de Fujiwhara.

Los altos números de Microsoft se deben a Windows 10, que lidera todos los productos con las vulnerabilidades más divulgadas en el segundo trimestre de este año, según el informe. Pero no es solo Windows 10. Diferentes versiones de Windows aparecen en la lista cuatro veces.

Las organizaciones que dependen en gran medida de los productos de Microsoft u Oracle, escribieron los investigadores, se verán obligadas a lidiar con docenas de días cada año en los que tienen que clasificar y evaluar una gran cantidad de problemas.

"OpenSUSE Leap, con 464 vulnerabilidades, y Suse Linux Enterprise Server (SLES), con 247, ya que ambos son del mismo proveedor y ambos sistemas operativos basados ​​en Linux. Leap se describe a sí mismo como 'para administradores de sistemas, desarrolladores empresariales y 'Usuarios' habituales de escritorio ', mientras que SLES se anuncia a sí mismo como un sistema operativo que' ayuda a simplificar su entorno de TI, modernizar su infraestructura de TI y acelerar la innovación '”, dice el informe.

"Podría decirse que esta es una línea borrosa, ya que se puede esperar que los administradores de sistemas y los desarrolladores empresariales usen cualquiera de los dos. ¿Por qué existe tal disparidad entre los dos? La diferencia más notable es que Leap se instala con Chrome y Firefox, mientras que SLES solo se instala con Firefox . Eso solo representa más de 100 vulnerabilidades ".

El informe también señala que los dispositivos Google Pixel / Nexus aparecieron en la lista con 314 vulnerabilidades, lo que llevó a los investigadores a escribir que los dispositivos móviles pueden ser más vulnerables a los ataques que su sistema de escritorio.

"Dada la gran cantidad de vulnerabilidades reveladas, las organizaciones que dependen de CVE / NVD tendrán dificultades para encontrar inteligencia oportuna y procesable. Los metadatos mínimos que se encuentran dentro de NVD no son suficientes para que las organizaciones prioricen y solucionen adecuadamente", dijo Martin.

"Las organizaciones están aumentando su propio riesgo al confiar en CVE para proporcionar datos completos y oportunos. El nivel actual de divulgaciones de vulnerabilidades que enfrentan las organizaciones a diario es más de lo que CVE puede manejar, y solo empeorará".

Ver también



Enlace a la noticia original