Uma análise dos dados coletados pelo Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos sobre vulnerabilidades e exposições comuns (CVE) revelou que em 2020 foram registrados mais relatórios de falhas de segurança do que em qualquer outro ano até o momento.
O relatório da Redscan, um provedor de serviços de segurança, destacou que 18.103 vulnerabilidades foram reportadas no ano passado, entre as quais a maioria (10.342) delas foram classificadas como de alta severidade ou crítica. De fato, as vulnerabilidades críticos e de alta gravidade reportadas em 2020 superaram a soma total de falhas reportadas em 2010, ou seja, incluindo as de baixa severidade.
O documento destaca um aumento nas falhas de segurança que não requerem nenhuma interação do usuário. Essas vulnerabilidades representaram 68% de todos os CVEs relatados ao NIST em 2020. “Os profissionais de segurança devem se preocupar com o fato de que mais de dois terços das vulnerabilidades registradas em 2020 não requerem qualquer tipo de interação do usuário para que sejam exploradas. Os atacantes que exploram essas falhas nem mesmo precisam que seus alvos realizem uma ação de forma inadvertida, como clicar em um link malicioso em um e-mail. Isso significa que os ataques podem não ser identificados ou até mesmo passar despercebidos”, alertou a Redscan.
Existem vários exemplos proeminentes de tais vulnerabilidades, incluindo uma falha crítica de execução remota de código indexada como CVE-2020-5902 que afetou os dispositivos de rede multifuncionais BIG-IP da F5 Networks.
A porcentagem de falhas de segurança que não exigem privilégios de usuário caiu de 71% em 2016 para 58% em 2020; enquanto isso, o número de vulnerabilidades que exigem privilégios de alto nível tem aumentado. Isso pode ser interpretado como um desafio para os cibercriminosos, que devem recorrer a ataques clássicos que dão certo, como o phishing, ao direcionar golpes a grandes marcas ou corporações.
“Usuários com um alto grau de privilégios, como administradores de sistema, são alvos visados porque podem abrir mais portas para atacantes”, explicou a Redscan.
O relatório também descreve outros aspectos das vulnerabilidades além da severidade, algo com o qual os usuários devem ter bastante atenção. Foram encontradas cerca de 4.000 falhas que cumprem com a condição de “pior das piores”. Essas são CVEs que têm uma complexidade de ataque baixa, não exigem nenhum privilégio ou interação do usuário e o risco para a confidencialidade é definido como alta.
A Redscan concluiu suas descobertas com uma nota na qual destaca que, embora as vulnerabilidades críticas e de alta severidade devam ser a prioridade na maior parte do tempo, as equipes de segurança “não devem perder de vista as vulnerabilidades de nível inferior”.
“Ao analisar o risco potencial que as vulnerabilidades representam, as organizações devem considerar mais do que apenas sua pontuação de severidade. Muitas CVEs nunca ou raramente são exploradas no mundo real porque são muito complexas ou exigem que os atacantes tenham acesso a privilégios de alto nível. Subestimar o que parecem ser vulnerabilidades de baixo risco pode deixar as organizações abertas ao encadeamento; ou seja, que os atacantes passem de uma vulnerabilidade para outra para obter acesso de forma gradativa em estágios cada vez mais críticos”, disse George Glass, chefe de inteligência de ameaças da Redscan.