Número récord de vulnerabilidades reportadas en 2020


Los errores críticos y de alta gravedad revelados en 2020 superan en número a la suma complete de vulnerabilidades informadas 10 años antes

Un análisis de los datos recopilados por el Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST) sobre vulnerabilidades y exposiciones comunes (CVE) ha descubierto que 2020 vio más informes de lagunas de seguridad que cualquier otro año hasta la fecha.

los reporte por Redscan, un proveedor de servicios de seguridad administrados, revela que el año pasado se reportaron 18,103 vulnerabilidades, y la mayoría (10,342) clasificadas como de gravedad alta o crítica. De hecho, los errores críticos y de alta gravedad revelados en 2020 superaron en número a la suma overall de vulnerabilidades reveladas en 2010.

Entre los hallazgos clave se encuentra un aumento en las fallas de seguridad que no requieren la interacción del usuario. Estos representaron el 68% de todos los CVE reportados al NIST en 2020. “Los profesionales de la seguridad deberían estar preocupados por el hecho de que más de dos tercios de las vulnerabilidades registradas en 2020 no requieren interacción del usuario de ningún tipo para explotar. Los atacantes que explotan estas vulnerabilidades ni siquiera necesitan que sus objetivos realicen una acción sin saberlo, como hacer clic en un enlace malicioso en un correo electrónico. Esto significa que los ataques pueden pasar fácilmente desapercibidos ”, advirtió Redscan.

Hay varios ejemplos destacados de tales vulnerabilidades, incluida una falla crítica de ejecución de código remoto indexada como CVE-2020-5902 que afectó Dispositivos de purple multipropósito Big-IP de F5 Networks.

La proporción de lagunas de seguridad que no requieren privilegios de usuario se redujo del 71% en 2016 al 58% en 2020 mientras tanto, la cantidad de vulnerabilidades que requieren privilegios de alto nivel ha ido en aumento. Esto se traduce en un mayor esfuerzo por parte de los ciberdelincuentes que recurrirán a ataques clásicos probados con el tiempo, como suplantación de identidad al apuntar a marcas de alto valor.

“Los usuarios con un alto grado de privilegios, como los administradores de sistemas, son un objetivo premiado porque pueden abrir más puertas a los atacantes”, explicó Redscan.

LECTURA RELACIONADA: Vulnerabilidades, exploits y parches

El informe continúa describiendo otros aspectos de las vulnerabilidades más allá de la gravedad de los que las personas deben tener cuidado. Se encontraron unas 4.000 fallas que cumplían con las llamadas condiciones “peores de las peores” Estos son CVE que tienen una complejidad de ataque baja, no requieren ningún privilegio o interacción del usuario y tienen la confidencialidad designada como alta.

Redscan concluye sus hallazgos con una nota sombría, destacando que aunque las vulnerabilidades críticas y de alta gravedad deben estar a la vanguardia la mayor parte del tiempo, los equipos de seguridad «no deben perder de vista las vulnerabilidades de nivel inferior».

“Al analizar el riesgo potencial que representan las vulnerabilidades, las organizaciones deben considerar más que solo su puntaje de gravedad. Muchas CVE nunca o rara vez se explotan en el mundo authentic porque son demasiado complejas o requieren que los atacantes tengan acceso a privilegios de alto nivel. Subestimar lo que parecen ser vulnerabilidades de bajo riesgo puede dejar a las organizaciones abiertas al &#39encadenamiento&#39, en el que los atacantes pasan de una vulnerabilidad a otra para obtener acceso gradualmente en etapas cada vez más críticas «. dijo George Glass, Jefe de Inteligencia de Amenazas en Redscan.





Enlace a la noticia unique