Raport Redscan: Număr record de vulnerabilităţi raportate în 2020
0Bug-urile software de severitate ridicată şi critice, identificate în 2020, depăşesc suma totală a vulnerabilităţilor raportate în urmă cu 10 ani.
Amer Owaida, security writer ESET, face o sinteză pe blog a raportului Redscan.
O analiză a datelor colectate de Institutul Naţional de Standarde şi Tehnologie (NIST) din Statelor Unite despre vulnerabilităţile şi expunerile comune (CVE) a constatat că în 2020 s-au înregistrat mai multe rapoarte privind breşele de securitate decât în orice alt an până în prezent.
Raportul Redscan, un furnizor de servicii de securitate, a dezvăluit că anul trecut au fost raportate 18.103 vulnerabilităţi, cele mai multe, 10.342, fiind clasificate ca severitate ridicată sau critică. De fapt, bug-urile de severitate ridicată şi critică dezvăluite în 2020 au depăşit suma totală a vulnerabilităţilor identificate în 2010.
Printre constatările cheie a fost creşterea defectelor de securitate care nu necesită nicio interacţiune cu utilizatorul. Acestea au reprezentat 68% din toate CVE-urile raportate la NIST în 2020. „Profesioniştii din domeniul securităţii ar trebui să fie îngrijoraţi de faptul că mai mult de două treimi din vulnerabilităţile înregistrate în 2020 nu necesită nicio interacţiune a utilizatorului de niciun fel pentru a fi exploatată. Atacatorii care exploatează aceste vulnerabilităţi nici măcar nu au nevoie de ţintele lor pentru a efectua în mod involuntar o acţiune, cum ar fi să daţi click pe un link rău intenţionat într-un e-mail. Aceasta înseamnă că atacurile pot fi foarte uşor trecute cu vederea.”, a avertizat Redscan.
Există mai multe exemple proeminente de astfel de vulnerabilităţi, inclusiv o eroare critică de execuţie a codului la distanţă indexată ca CVE-2020-5902 care a afectat dispozitivele de reţea multifuncţionale BIG-IP ale F5 Networks.
Ponderea lacunelor de securitate care nu necesită privilegii de utilizator a scăzut de la 71% în 2016 la 58% în 2020; între timp, numărul vulnerabilităţilor care necesită privilegii la nivel înalt a fost în creştere. Acest lucru se traduce prin mai mult efort din partea infractorilor cibernetici care vor recurge la atacuri clasice testate în timp, cum ar fi phishing-ul, atunci când vizează branduri cu valoare ridicată.
„Utilizatorii cu un grad ridicat de privilegii, cum ar fi administratorii de sistem, sunt o ţintă de mare interes, deoarece sunt capabili să deschidă mai multe căi de acces pentru atacatori”, a explicat Redscan.
Raportul continuă să descrie alte aspecte ale vulnerabilităţilor dincolo de gravitate, la care oamenii trebuie să fie atenţi. Aproximativ 4.000 de vulnerabilităţi s-au dovedit a îndeplini aşa-numitele „cele mai rele” condiţii; acestea sunt CVE-uri care au o complexitate de atac scăzută, nu necesită privilegii sau interacţiuni cu utilizatorii şi au confidenţialitatea desemnată ca fiind ridicată.
Redscan îşi încheie concluziile într-o notă sumbră, subliniind că, deşi vulnerabilităţile critice şi de severitate ridicată ar trebui să fie în prim plan de cele mai multe ori, echipele de securitate „nu ar trebui să piardă din vedere vulnerabilităţile de nivel mai scăzut”.
„Atunci când analizează riscul potenţial pe care îl prezintă vulnerabilităţile, organizaţiile trebuie să ia în considerare mai mult decât doar scorul lor de severitate. Multe CVE nu sunt niciodată sau rareori exploatate în lumea reală, deoarece sunt prea complexe sau necesită ca atacatorii să aibă acces la privilegii de nivel înalt. Subestimarea a ceea ce par a fi vulnerabilităţi cu risc scăzut poate lăsa organizaţiile deschise „înlănţuirii”, în care atacatorii trec de la o vulnerabilitate la alta pentru a avea acces treptat în etape din ce în ce mai critice.”, a declarat George Glass, Head of Threat Intelligence al Redscan.