As vulnerabilidades são um dos elementos que são frequentemente identificados nos incidentes de segurança e, juntamente com outras ameaças, como exploits ou malwares, tornam-se um risco latente. Em 2017, as vulnerabilidades relatadas atingiram seu máximo histórico, ultrapassando os registros de anos anteriores. As vulnerabilidades identificadas como críticas também atingiram seu pico no ano que terminou.

As vulnerabilidades reportadas aumentaram em um ano

Em 2017, as vulnerabilidades superaram os registros de anos anteriores. De acordo com o CVE Details, em 2017 foram reportadas mais de 14.600 vulnerabilidades, em comparação com 6.447 em 2016. O crescimento mais do que duplicou em relação aos relatórios de 2016, com um aumento de mais de 120% de um ano para o outro.

É importante ressaltar que o crescimento poderia ter sido maior, considerando que dentro desses registros não são consideradas as vulnerabilidades de zero day, que são exploradas in the wild, sem o conhecimento dos fabricantes ou usuários.

Analisando os resultados desses registros, vale ressaltar que, em média, em 2017, 40 vulnerabilidades foram relatadas diariamente, contra a média de 17 vulnerabilidades registradas por dia durante 2016.

As vulnerabilidades críticas e altas também cresceram

A gravidade das vulnerabilidades é determinada por diferentes fatores, como o impacto na confidencialidade, integridade ou disponibilidade da informação, bem como o vetor de ataque usado, a complexidade do ataque, os privilégios solicitados ou a interação com o usuário. Para isso, é necessário um sistema que permita o cálculo de efeitos negativos.

O Common Vulnerability Score System (CVSS) é um sistema de pontuação projetado para fornecer um método aberto e padrão para estimar o impacto de vulnerabilidades. Por isso, o sistema é usado para quantificar a gravidade que as vulnerabilidades podem representar. Atualmente, são utilizadas duas versões deste sistema CVSS v2.0 e CVSS v3.0.

Em ambos os casos, o sistema de pontuação consiste em três grupos de métricas usadas para calcular uma pontuação. O primeiro grupo, chamado de base, procura representar as qualidades intrínsecas da vulnerabilidade, ou seja, as que são inerentes a mesma.

O segundo grupo, conhecido como temporário, reflete as características que mudam ao longo do tempo. Enquanto o grupo de métricas de ambientes considera as características de uma vulnerabilidade que é exclusiva para o contexto do usuário que realiza a avaliação.

Depois de atribuir valores às métricas de base, a fórmula pode resultar em uma pontuação entre 0.0 e 10.0, o que representa a gravidade da vulnerabilidade em questão.

No CVSS v2.0, foram consideradas 3 categorias: Baixa quando a pontuação varia entre 0.0 e 3.9; Média quando a pontuação obtida varia entre 4.0 e 6.9; e Alta quando o resultado da avaliação pertence ao intervalo 7.0 e 10.0.

Para CVSS v3.0, existem 5 categorias Nula (0.0), Baixa (0.1-3.9), Média (4.0-6.9), Alta (7.0-8.9) e Crítica (9.0-10.0).

A partir da classificação de gravidade, deve-se notar que, em 2017, o crescimento das vulnerabilidades consideradas elevadas no CVSS v2.0 e críticas no CVSS 3.0, também aumentaram consideravelmente, de acordo com o National Vulnerability Database (NVD).

As vulnerabilidades consideradas críticas no CVSS v3.0 tiveram um crescimento importante nos últimos 5 anos, passando de 0 (zero) registros em 2013 para 2070 nos últimos dias do ano, praticamente duplicando em relação a 2016.

Em relação às vulnerabilidades consideradas elevadas na versão CVSS v2.0, o crescimento também foi considerável, passando de 2.470 em 2016 para mais de 4.100 nos últimos dias de 2017. O aumento foi superior a 60%.

Os dados acima mostram um crescimento importante no número de vulnerabilidades relatadas nos últimos meses, com o aumento daquelas consideradas como altas e críticas. Portanto, pode-se afirmar que 2017 tornou-se o ano das vulnerabilidades.

Créditos da Imagem: TheDigitalArtist/Pixabay.com