iStock/weerapatkiatdumrong

La cantidad de vulnerabilidades reveladas por las grandes empresas de tecnología está volviendo a los niveles normales después de un primer trimestre por debajo de lo normal, en gran parte debido a la interrupción causada por la pandemia de coronavirus.

Pero en el Informe de vulnerabilidad de QuickView de mitad de año de 2020, los analistas del equipo VulnDB de Risk Based Security criticaron la tendencia ahora popular de que las empresas publiquen todas sus vulnerabilidades más recientes el mismo día, llamando a estos días "vulnerabilidad Fujiwhara".

De las 11.121 vulnerabilidades publicadas a mediados de año, 818 fueron eliminadas en tan solo unos días. Hubo 312 vulnerabilidades publicadas el 14 de enero, 508 el 14 de abril y 263 el 9 de junio. Ha habido cuatro días más este año donde se han publicado al menos 187 vulnerabilidades.

VER: Calendario editorial premium de TechRepublic: políticas de TI descargables, listas de verificación, kits de herramientas e investigación (Premium de TechRepublic)

“Sabíamos que estos eventos sin duda se convertirían en una tensión importante para el personal de TI y los administradores de vulnerabilidades. En comparación con otros martes de parches de este año, el más alto informó “solo” 273 nuevas vulnerabilidades”, dijo Brian Martin, vicepresidente de inteligencia de vulnerabilidades en Risk Based Security.

“Sin embargo, durante el evento de Fujiwhara en abril, vimos 508 nuevas vulnerabilidades reportadas, el 79% de las cuales provino de siete proveedores. Desafortunadamente para todos nosotros, esto es probablemente lo que podemos esperar que suceda con más frecuencia en el futuro. El gran volumen hace que uno se pregunte quién se beneficia realmente de esta divulgación simultánea de vulnerabilidades. Ciertamente no pagan a los clientes.

A pesar de más de 11.000 vulnerabilidades reveladas en la primera mitad del año, la cifra representó una caída del 8,2 % con respecto al mismo período de 2019. Pero el segundo trimestre del año mostró que las cosas están volviendo lentamente a la normalidad después de unos meses tumultuosos debido a COVID-19.

Los investigadores de Risk Based Security escribieron en el informe que una de las tendencias más alarmantes es la falta de identificadores CVE. Entre las vulnerabilidades reveladas en la primera mitad de 2020, el 30% no tenía CVE ID y un 3% adicional se encuentra en estado reservado incluso con su CVE ID, lo que significa que no hay información disponible sobre este tema.

Pero la mayor parte del informe se centra en el efecto de vulnerabilidad de Fujiwhara y en qué empresas están revelando la mayoría de las vulnerabilidades. Hubo tres días en 2020, el 14 de enero, el 14 de abril y el 14 de julio, que según el informe se convirtieron en "un evento significativo en la vida del personal de TI".

“Estos eventos de Fujiwhara suelen ser raros, pero en 2020 hubo tres: el 14 de enero, el 14 de abril y el 14 de julio. Los dos últimos eventos de Fujiwhara observados antes de 2020 ocurrieron en 2015, y los dos siguientes ocurrirán en 2025, a partir de enero. 14! Esto ilustra cuán poco frecuentes son estos eventos y por qué son un punto de estrés y riesgo adicional para las organizaciones”, afirma el informe.

"También es importante tener en cuenta que solo en el evento Fujiwhara de 2015 se revelaron un total de 277 vulnerabilidades en todos los informes de ese día, menos de la mitad de lo que vimos durante el Fujiwhara de abril de ese año. Durante el evento Fujiwhara de abril, vimos 506 nuevas vulnerabilidades informadas, el 79 % de las cuales provino de siete proveedores. En comparación con otros martes de parches de este año, el más alto informó "solo" 273 nuevas vulnerabilidades el 9 de junio.

El informe predice que estos incidentes de Fujiwhara y el mayor número de vulnerabilidades se convertirán en la norma, pero los investigadores se preguntaron si los días estaban perjudicando a los equipos de TI que podrían no ser capaces de manejar la gran cantidad de vulnerabilidades.

VER: Ingeniería social: checklist para profesionales (PDF gratuito) (República Tecnológica)

Los investigadores también notaron lo absurdo de que los proveedores creen el software vulnerable que pone en riesgo a sus clientes que pagan mientras descargan todas las divulgaciones en los mismos días, creando la circunstancia que agrega un riesgo adicional.

"Los equipos de seguridad de TI y los administradores de vulnerabilidades que se enfrentan a personal y presupuestos reducidos seguramente tendrán dificultades para clasificar y evaluar el gran volumen de problemas revelados en un solo día. Cientos de vulnerabilidades se revelan en poco tiempo, la mayoría de ellos de proveedores importantes como como Microsoft y Adobe, afectando productos ampliamente utilizados”, dice el informe.

“Para empeorar las cosas, la misión CVE ha permanecido estancada, lo que significa que las organizaciones que dependen de CVE/NVD para la inteligencia de vulnerabilidades no recibirán la ayuda que tanto necesitan para identificar y priorizar las vulnerabilidades consideradas críticas. Si este año nos ha enseñado algo, es que necesitamos inteligencia de vulnerabilidad integral y la necesitamos ahora si queremos capear la tormenta inminente y creciente.

Microsoft fue una de las primeras empresas en realizar eventos de "Patch Tuesday", pero Adobe finalmente comenzó a unirse a ellos en 2012, y otras empresas como SAP, Siemens y Schneider Electric también decidieron unirse. Apple, Mozilla, Intel, Cisco y otros también comenzaron a revelar vulnerabilidades el mismo día en un intento por "hacerlo más conveniente".

El problema es tan grave que este año, en solo dos días, se divulgaron 818 vulnerabilidades, lo que representa el 7,3% de todas las divulgaciones de mitad de año. Si se incluye el día de Fujiwhara en julio, tres días representarían el 10,5 % de todas las vulnerabilidades en 2020, o el 13 % si se tiene en cuenta el día siguiente para cada una.

Si bien estos días se crearon originalmente para aliviar la tensión en los equipos de TI, tuvieron el efecto contrario, dando a los malos actores un tesoro de vulnerabilidades recién lanzadas para explotar todas en el mismo día, según el informe. El estudio agrega que en este punto, los proveedores de software pueden ver a Fujiwhara en estos días como una forma de ocultar sus vulnerabilidades en medio del caos de cientos de otras vulnerabilidades.

En el segundo trimestre de 2020, Microsoft vio notablemente un aumento del 150 % en las vulnerabilidades divulgadas en comparación con el mismo período del año pasado con 762 divulgaciones. El número es mucho mayor que el de cualquier otro proveedor, incluidos Oracle y Linux/Red Hat. Oracle tenía 612 vulnerabilidades totales, de las cuales 420 procedían de los dos eventos de Fujiwhara.

Las altas cifras de Microsoft fueron impulsadas por Windows 10, que encabezó todos los productos con las vulnerabilidades más reveladas en el segundo trimestre de este año, según el informe. Pero no se trata solo de Windows 10. Las diferentes versiones de Windows aparecen cuatro veces en la lista.

Las organizaciones que dependen en gran medida de los productos de Microsoft u Oracle, escribieron los investigadores, se verán obligadas a lidiar con docenas de días cada año en los que tienen que clasificar y evaluar una gran cantidad de problemas.

“OpenSUSE Leap, con 464 vulnerabilidades, y Suse Linux Enterprise Server (SLES), con 247, ya que ambos provienen del mismo proveedor y ambos sistemas operativos basados ​​en Linux. Leap se describe a sí mismo como "para administradores de sistemas, desarrolladores empresariales y usuarios de escritorio 'normales', mientras que SLES se comercializa a sí mismo como un sistema operativo que "ayuda a simplificar su entorno de TI, modernizar su infraestructura de TI y acelerar la innovación", dice el informe. .

“Podría decirse que es una línea borrosa ya que se espera que los administradores de sistemas y los desarrolladores empresariales usen uno u otro. ¿Por qué hay tanta disparidad entre los dos? La diferencia más notable es que Leap se instala con Chrome y Firefox, mientras que SLES solo se instala con Firefox. Esto por sí solo representa más de 100 vulnerabilidades.

El informe también señala que los dispositivos Google Pixel/Nexus estaban en la lista con 314 vulnerabilidades, lo que llevó a los investigadores a escribir que los dispositivos móviles pueden ser más vulnerables a los ataques que su sistema de escritorio.

“Dada la cantidad de vulnerabilidades reveladas, las organizaciones que confían en CVE/NVD tendrán dificultades para encontrar información oportuna y procesable. Los metadatos mínimos que se encuentran en NVD no son suficientes para que las organizaciones prioricen y remedien adecuadamente”, dijo Martin.

“Las organizaciones aumentan su propio riesgo al confiar en CVE para proporcionar datos completos y oportunos. El nivel actual de divulgación de vulnerabilidades que enfrentan las organizaciones a diario excede lo que CVE puede manejar, y solo empeorará.