Bug-urile de severitate ridicată și critice identificate în 2020 depășesc suma totală a vulnerabilităților raportate în urmă cu 10 ani.

O analiză a datelor colectate de Institutul Național de Standarde și Tehnologie (NIST) a Statelor Unite despre vulnerabilitățile și expunerile comune (CVE) a constatat că în 2020 s-au înregistrat mai multe rapoarte privind breșele de securitate decât în ​​orice alt an până în prezent.

Raportul Redscan, un furnizor de managed security services, a dezvăluit că anul trecut au fost raportate 18.103 de vulnerabilități, cele mai multe, 10.342, fiind clasificate ca severitate ridicată sau critică. De fapt, bug-urile de severitate ridicată și critică dezvăluite în 2020 au depășit suma totală a vulnerabilităților identificate în 2010.

Printre constatările cheie a fost creșterea defectelor de securitate care nu necesită nicio interacțiune cu utilizatorul. Acestea au reprezentat 68% din toate CVE-urile raportate la NIST în 2020. „Profesioniștii din domeniul securității ar trebui să fie îngrijorați de faptul că mai mult de două treimi din vulnerabilitățile înregistrate în 2020 nu necesită nicio interacțiune a utilizatorului de niciun fel pentru a fi exploatată. Atacatorii care exploatează aceste vulnerabilități nici măcar nu au nevoie de țintele lor pentru a efectua în mod involuntar o acțiune, cum ar fi să dați click pe un link rău intenționat într-un e-mail. Aceasta înseamnă că atacurile pot fi foarte ușor trecute cu vederea.”, a avertizat Redscan.

Există mai multe exemple proeminente de astfel de vulnerabilități, inclusiv o eroare critică de execuție a codului la distanță indexată ca CVE-2020-5902 care a afectat dispozitivele de rețea multifuncționale BIG-IP ale F5 Networks.

Ponderea lacunelor de securitate care nu necesită privilegii de utilizator a scăzut de la 71% în 2016 la 58% în 2020; între timp, numărul vulnerabilităților care necesită privilegii la nivel înalt a fost în creștere. Acest lucru se traduce prin mai mult efort din partea infractorilor cibernetici care vor recurge la atacuri clasice testate în timp, cum ar fi phishing-ul, atunci când vizează branduri cu valoare ridicată.

„Utilizatorii cu un grad ridicat de privilegii, cum ar fi administratorii de sistem, sunt o țintă de mare interes, deoarece sunt capabili să deschidă mai multe căi de acces pentru atacatori”, a explicat Redscan.

Raportul continuă să descrie alte aspecte ale vulnerabilităților dincolo de gravitate, la care oamenii trebuie să fie atenți. Aproximativ 4.000 de vulnerabilități s-au dovedit a îndeplini așa-numitele „cele mai rele” condiții; acestea sunt CVE-uri care au o complexitate de atac scăzută, nu necesită privilegii sau interacțiuni cu utilizatorii și au confidențialitatea desemnată ca fiind ridicată.

Redscan își încheie concluziile într-o notă sumbră, subliniind că, deși vulnerabilitățile critice și de severitate ridicată ar trebui să fie în prim plan de cele mai multe ori, echipele de securitate „nu ar trebui să piardă din vedere vulnerabilitățile de nivel mai scăzut”.

„Atunci când analizează riscul potențial pe care îl prezintă vulnerabilitățile, organizațiile trebuie să ia în considerare mai mult decât doar scorul lor de severitate. Multe CVE nu sunt niciodată sau rareori exploatate în lumea reală, deoarece sunt prea complexe sau necesită ca atacatorii să aibă acces la privilegii de nivel înalt. Subestimarea a ceea ce par a fi vulnerabilități cu risc scăzut poate lăsa organizațiile deschise „înlănțuirii”, în care atacatorii trec de la o vulnerabilitate la alta pentru a avea acces treptat în etape din ce în ce mai critice.”, a declarat George Glass, șeful serviciilor de informații pentru amenințări la Redscan.