Los CVE de baja complejidad son una preocupación creciente

Las vulnerabilidades y exposiciones comunes fáciles de explotar, o CVE, parecen estar aumentando como una proporción del volumen total de errores revelados, lo que aumenta la preocupación de los equipos de seguridad cibernética, según un informe.

El especialista en detección administrada, respuesta y pruebas de penetración, Redscan, analizó más de 18,000 CVE que se archivaron en la Base de datos nacional de vulnerabilidades (NVD) del Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) durante el transcurso de 2020.

El informe, Tendencias de vulnerabilidad de seguridad del NIST en 2020: un análisis, reveló que no solo se presentaron más CVE en 2020 que en cualquier otro año hasta la fecha (18.103 o un promedio de 50 por día), 10.342 (57%) de ellos se clasificaron como de gravedad crítica o alta. El informe dijo que el 63% de ellos eran de baja complejidad y el 68% de ellos no requirió la interacción del usuario para explotarlos.

Redscan dijo que esta tendencia debería ser motivo de preocupación para los defensores, destacando la necesidad de que las organizaciones se concentren en sus esfuerzos de administración de parches y adopten enfoques más avanzados para la administración de vulnerabilidades.

“Al analizar el riesgo potencial que representan las vulnerabilidades, las organizaciones deben considerar más que solo su puntaje de gravedad. Muchas CVE nunca o rara vez se explotan en el mundo real porque son demasiado complejas o requieren que los atacantes tengan acceso a privilegios de alto nivel ”, dijo el jefe de inteligencia de amenazas de Redscan, George Glass.

“Subestimar lo que parecen ser vulnerabilidades de bajo riesgo puede dejar a las organizaciones abiertas al ‘encadenamiento’, en el que los atacantes pasan de una vulnerabilidad a otra para obtener acceso gradualmente en etapas cada vez más críticas”, dijo.

Según Glass, la complejidad es uno de los aspectos más importantes a considerar al evaluar el riesgo que plantean las vulnerabilidades y los plazos para la explotación en estado salvaje. Los CVE de baja complejidad, explicó, se prestan a una explotación masiva rápida porque los atacantes no necesitan considerar factores atenuantes o problemas de ruta de ataque.

Las cosas se vuelven aún más problemáticas una vez que el código de explotación se filtra en el dominio público y los actores maliciosos poco capacitados lo detectan.

Además, la prevalencia de vulnerabilidades de baja complejidad les da a los ciberdelincuentes más capacitados un margen de maniobra para guardar sus días cero de alta complejidad para futuros ataques dirigidos, en lugar de quemarlos de inmediato.

Dicho esto, en el lado positivo, Redscan observó una disminución en los CVE que no necesitan privilegios elevados para explotar, por debajo del 71% del total en 2016, al 58% el año pasado. También hubo un aumento en las vulnerabilidades físicas y adyacentes, lo que se puede leer como un desarrollo positivo en general, ya que probablemente refleja pruebas más rigurosas de los sensores de Internet de las cosas y otros dispositivos inteligentes.

“El análisis del NIST NVD presenta una perspectiva mixta para los equipos de seguridad”, dijo Glass. “Las vulnerabilidades van en aumento, incluidas algunas de las variantes más peligrosas. Sin embargo, estamos viendo señales más positivas, incluida una caída en el porcentaje de vulnerabilidades que no requieren privilegios de usuario para explotar “.

Redscan dijo que la perspectiva de la tendencia para 2021 era más o menos similar, con actores maliciosos que atacan cada vez más a las organizaciones vistas como objetivos suaves, como aquellos que no pueden parchear el kit de redes de borde. El número de vulnerabilidades reveladas también seguirá aumentando.

La firma compartió algunos consejos sobre cómo adoptar un enfoque más multicapa para la gestión de vulnerabilidades, aconsejando a los equipos de seguridad que realicen evaluaciones de vulnerabilidades internas y externas mensualmente; aprovechar la inteligencia de amenazas de código abierto; invertir en pruebas de penetración; monitorear de cerca las redes y los puntos finales; para realizar ejercicios de modelado de amenazas de mesa para descubrir posibles rutas de ataque; y formalizar y probar los procedimientos de respuesta a incidentes.