Falhas de segurança listadas no catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA devem ser avaliadas com base no contexto de cada ambiente, segundo relatório publicado pela empresa israelense Ox Security.
Leia também
Pacotes NPM maliciosos coletam dados sensíveis
Pwn2Own Berlin premia por falhas críticas
Embora o KEV tenha cerca de 1.300 vulnerabilidades exploradas na prática e seja considerado uma fonte confiável, o estudo aponta que tratá-las com a mesma urgência pode gerar sobrecarga e desperdício de recursos. A Ox Security analisou os 10.000 CVEs mais comuns em ambientes de contêineres de nuvem e concluiu que 10 das 25 falhas mais relevantes do KEV para esse tipo de aplicação não representam ameaças reais.
De acordo com o relatório, essas vulnerabilidades exigem condições específicas para serem exploradas ou são tecnicamente inexploráveis nesses ambientes. Entre os casos citados estão falhas que afetam Android, Chrome e Safari, algumas das quais só podem ser exploradas com acesso físico ou local, ou em cenários irrelevantes para nuvem.
A Ox afirma que o KEV continua sendo um recurso importante, mas cada CVE deve ser analisado conforme sua relevância para a organização, levando em conta fatores como ambiente afetado, presença de exploits públicos, impacto real e possibilidade de exploração.
A publicação do relatório ocorre uma semana após a CISA e o NIST sugerirem a criação do LEV, uma nova métrica para complementar o KEV com base na probabilidade de exploração de vulnerabilidades.
