Un análisis de los datos recopilados por el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos sobre las vulnerabilidades y exposiciones más comunes (CVE) descubrió que en 2020 se registraron más reportes de fallos de seguridad que en cualquier otro año hasta la fecha.
El informe de Redscan, un proveedor de servicios de seguridad, revela que el año pasado se reportaron 18.103 vulnerabilidades, de las cuales en su mayoría (10.342) fueron clasificadas como de alta severidad o crítica. De hecho, las vulnerabilidades críticas y de alta severidad reportadas en 2020 superaron en número a la suma total de vulnerabilidades reportadas en 2010; es decir, incluidas las de una severidad menor.
Uno de los principales hallazgos fue el aumento en las fallas de seguridad que no requieren la interacción por parte del usuario. Las mismas representaron el 68% de todas los CVE reportados al NIST en 2020. “Los profesionales en el campo de la seguridad deberían estar preocupados por el hecho de que más de dos tercios de las vulnerabilidades registradas en 2020 no requieren ningún tipo interacción por parte del usuario para poder ser explotadas. Los atacantes que aprovechan de estas vulnerabilidades ni siquiera necesitan que sus objetivos realicen una acción sin saberlo, como hacer clic en un enlace malicioso en un correo electrónico. Esto significa que los ataques pueden fácilmente no ser detectados o pasar percibidos”, advirtió Redscan.
Hay varios ejemplos destacados de tales vulnerabilidades, incluida una vulnerabilidad crítica de ejecución de remota de código indexada como CVE-2020-5902 que afectó a los dispositivos de red multipropósito BIG-IP de F5 Networks.
El porcentaje de fallas de seguridad que no requieren privilegios de usuario se redujo del 71% en 2016 al 58% en 2020; mientras tanto, la cantidad de vulnerabilidades que requieren privilegios de alto nivel ha ido en aumento. Esto se traduce en un mayor esfuerzo por parte de los ciberdelincuentes, que recurrirán a ataques clásicos ya probados en el tiempo, como el phishing, cuando apunten a marcas de alto valor.
“Los usuarios con un alto grado de privilegios, como los administradores de sistemas, son un objetivo preciado porque son capaces de abrir más puertas a los atacantes”, explicó Redscan.
Más allá de la severidad, el informe también describe otros aspectos de las vulnerabilidades de los cuales hay que cuidarse. Se encontraron unas 4.000 fallas que cumplían con la condición de “peores de las peores”. Estas son CVE que tienen una baja complejidad de ataque, no requieren ningún privilegio o interacción por parte del usuario y el riesgo para la confidencialidad lo tienen designado como alto.
Redscan concluye sus hallazgos con una nota en la que destaca que, aunque las vulnerabilidades críticas y de alta severidad deben ser la prioridad la mayor parte del tiempo, los equipos de seguridad "no deben perder de vista las vulnerabilidades de bajo nivel” .
“Al analizar el riesgo potencial que representan las vulnerabilidades, las organizaciones deben considerar más que solo su puntaje o severidad. Muchas CVE nunca o rara vez se explotan en el mundo real porque son demasiado complejas o requieren que los atacantes tengan acceso a privilegios de alto nivel. Subestimar lo que parecen ser vulnerabilidades de bajo riesgo puede dejar a las organizaciones expuestas al encadenamiento; es decir, que los atacantes pasen de una vulnerabilidad a otra para ir gradualmente obteniendo acceso a etapas cada vez más críticas”, dijo George Glass, Jefe de Inteligencia de Amenazas en Redscan.