Especialistas em segurança cibernética alertam para o aumento de vulnerabilidades que são relativamente fáceis de explorar e não requerem interação do usuário.
O último relatório do provedor de serviços de segurança gerenciada Redscan, intitulado “NIST Security Vulnerability Trends in 2020: An Analysis”, analisa as mais de 18 mil vulnerabilidades e exposições comuns (CVEs) registradas no National Vulnerability Database (NVD) do NIST (National Institute of Standards and Technology), agência da administração de tecnologia do Departamento de Comércio dos Estados Unidos.
Além do fato de que mais CVEs foram relatadas em 2020 do que em qualquer ano anterior, mais da metade (57%) das vulnerabilidades foram classificadas como de gravidade “crítica” ou “alta”, totalizando mais de 10.300 CVEs.
Segundo o relatório, 63% do número total de falhas divulgado em 2020 foram classificados como de “baixa complexidade”, o que significa que um invasor com pouca habilidade técnica poderia explorá-las. Este número tem aumentado desde 2017, após uma queda significativa entre 2001 e 2014, de acordo com o estudo.
O número de 63% representa um pico de 13 anos, afirmou o Redscan. “A predominância de vulnerabilidades de baixa complexidade nos últimos anos significa que ataques sofisticados não precisam ‘queimar’ seus dias zero de alta complexidade para atingirem seus alvos e têm o luxo de salvá-los para ataques futuros”, alerta o relatório.
Veja isso
Pesquisadores alertam para falha no IBM WebSphere Application Server
Falhas expõem 90.800 sites do executivo, legislativo e judiciário
“Vulnerabilidades de baixa complexidade podem ser exploradas em massa, pois o invasor não precisa considerar nenhum fator atenuante ou problemas com um caminho de ataque. Essa situação piora quando o código de exploração chega ao público e invasores menos qualificados podem simplesmente executar scripts para comprometer os dispositivos.”
Houve outras más notícias, pois as vulnerabilidades que não requerem interação do usuário para serem exploradas também estão aumentando: elas representaram 68% de todos os CVEs registrados em 2020. Ataques que exploram esses CVEs são difíceis de detectar e podem causar danos significativos, afirma Redscan.
“Os invasores que exploram essas vulnerabilidades nem mesmo precisam de seus alvos para realizar uma ação inadvertidamente, como clicar em um link malicioso em um e-mail. Isso significa que os ataques podem facilmente escapar do radar”, observa o relatório.
“Vulnerabilidades que não requerem interação para serem exploradas apresentam um desafio complexo para as equipes de segurança, ressaltando a necessidade de defesa em profundidade. Isso inclui aumentar a visibilidade dos comportamentos de ataque assim que ocorrer um comprometimento”, completa o estudo.
