Vulnerabilidades conhecidas ainda representam maior perigo para as empresas

A lista de vulnerabilidades de software mais perigosas de 2021, publicada na última semana pela Mitre, parece até um repeteco de notícias antigas. A organização sem fins lucrativos, vinculada aos departamentos de defesa, segurança nacional e cibernética do governo dos Estados Unidos, revelou que as quatro ameaças mais danosas de 2020 permaneceram como tais também neste ano, apenas com mudanças de posição que mostram uma persistência nos vetores de comprometimento e, ainda, uma dificuldade das corporações de se adequarem.

• Elastic mostra como sistemas de segurança podem usar a análise de dados
• A ordem é “confiança zero”
• Empresas brasileiras são as que mais sofrem com ransomware na América Latina

De acordo com o ranking CWE (Enumeração de Vulnerabilidades Comuns, traduzido da sigla em inglês), a maior ameaça de 2021 são os ataques envolvendo transbordamento de dados, ou buffer overflow, quando a escrita de dados acontece fora dos limites da memória dedicada a uma determinada aplicação. Com isso, códigos arbitrários podem ser executados em uma máquina, até mesmo de forma remota, permitindo a instalação de malwares ou a obtenção do controle pelo atacante.

A brecha se recupera de uma vice-liderança, em 2020, e jogou para a segunda posição a campeão do ano passado, a vulnerabilidade de cross-site scripting, quando um domínio ou aplicação web permite que códigos sejam rodados sobre o sistema original. Assim, um criminoso poderia, por exemplo, criar um campo falso de login e senha, com as informações sendo enviadas a servidores sob seu controle, sendo utilizadas posteriormente em outros golpes.

Inversão também entre a terceira e quarta colocações. Com a medalha de bronze, uma vulnerabilidade semelhante à campeã, mas focada na leitura de dados além dos limites da memória de uma aplicação, dando aos atacantes acesso a dados sensíveis; depois, vem a velha conhecida validação incorreta de credenciais, com sites que acabam permitindo o acesso a usuários deslogados caso eles tentem visualizar páginas diretamente, sem passarem por telas de segurança.

No top 5, a maior mudança acontece na quinta colocação, com um tratamento irregular de comandos dados a um sistema operacional, com elementos especiais que podem mudar sua natureza. A brecha, também, pode levar à execução de códigos, seja para escalar privilégios ou obter acesso a áreas ou funcionalidades que não deveria. Neste, como em todos os casos, se trata de uma vulnerabilidade conhecida, com alertas constantes de empresas de segurança e, também, presença usual no noticiário, seja em denúncias sobre vulnerabilidades em grandes serviços ou relatórios sobre vazamentos e intrusões.

A própria Mitre chama atenção para esse fato. Ao publicar a lista, a organização aponta para o fato de as ameaças permitirem que adversários tomem conta dos sistemas enquanto, ao mesmo tempo, todas que fazem parte do ranking das 25 mais perigosas são altamente fáceis de se localizar e explorar para roubar dados ou assumir o controle sobre aplicações. É, como sempre, mais um alerta vermelho para administradores de segurança, com um panorama perigoso sendo pintado sobre a persistência dessas brechas.

Ao contrário do que pode se pensar, os efeitos da pandemia do novo coronavírus devem ampliar essa permanência ainda mais. O ranking de 2021 é composto de acordo com as questões de maior impacto nos dois anos anteriores, ou seja, a ideia é que, nas próximas edições, essa permanência se mantenha. Problemas de configuração em servidores, brechas conhecidas e vulnerabilidades populares deram a tônica do primeiro ano de contágio, com a corrida acelerada para o home office deixando muitas organizações desprotegidas enquanto elas se batiam para garantir a produtividade em um ambiente que, de uma semana para a outra, teve de se tornar remoto.

“A maioria dos casos envolveu improviso, e não um planejamento adequado”, aponta Roberto Martinez, analista sênior de segurança da Kaspersky. Segundo ele, a funcionalidade foi pensada primeiro, sem que os riscos de movimentar toda a força de trabalho para casa, de uma hora para outra, fossem balanceados. O resultado ainda está sendo demonstrado, dia a dia, no noticiário de tecnologia da informação.

Mudança de postura

A insistência de algumas falhas em aparecerem anualmente no Top 25 CWE da Mitre também revela questões que vão além, apenas, da solução de brechas existentes ou a mitigação de ataques em andamento, levem eles o home office em conta ou não. Trata-se, na visão do especialista, de uma abordagem reativa, aplicada em riscos gerais e nos investimentos focados na compra de ferramentas e tecnologias, com menos trabalho focado, que deveria ser o foco.

A análise da Mitre concorda com essa visão. No relatório que acompanha o índice das vulnerabilidades mais perigosas, a organização aponta uma transição de comprometimentos generalizados para aberturas mais específicas. Houve, por exemplo, uma queda no primeiro tipo de ameaça, que hoje compreende cerca de 20% dos casos analisados, contra um crescimento na segunda categoria, que hoje corresponde a 71%.

Esse movimento também se reflete nos postos inferiores da lista. Uma brecha relacionada à má configuração de permissões, dando aos usuários logados acesso a mais recursos do que deveria, saiu da 41ª posição em 2020 para 19ª em 2021, enquanto uma brecha relacionada à falta de autenticação em funções críticas subiu do 24º lugar para o 11º. Não é coincidência que, em ambos os casos, se tratam de preferidas dos atacantes, podendo dar acesso a redes corporativas ou dados sigilosos.

“Um dos objetivos da cibersegurança é a redução de riscos até um nível aceitável para a organização. [É importante] conhecer as ameaças reais, os adversários específicos e as habilidades e capacidades tecnológicas que eles possuem”, continua Martinez. Na visão dele, a ideia é encontrar um nível de riscos aceitável para uma empresa, algo que só pode ser atingido com o uso de diferentes fontes de inteligência e conhecimento acionável, que permita uma tomada rápida de decisões.

Esse trabalho de repensar estratégias de segurança digital, de acordo com o especialista, passa por entender os elementos críticos para o funcionamento de uma organização e de que forma eles podem ser protegidos. É o que o analista chama de “modelagem de riscos e ameaças”, considerando diferentes cenários de ataques, inclusive aqueles que possam surgir no futuro. “Implementar um programa de gerenciamento de vulnerabilidades que funcione de forma contínua ajuda a identificar rapidamente novas [brechas] relacionadas aos ativos.”

Trata-se de um equilíbrio, no final das contas, com Martinez apontando que esse trabalho de direcionamento também implica na presença de riscos residuais. O ideal, aponta, é que caso tais vulnerabilidades efetivamente sejam utilizadas por atacantes, elas não tenham um impacto significativo na operação, principalmente no que toca dados e aplicações sensíveis.

Também é uma visão corroborada pela análise da Mitre, que indica um aumento na conscientização e no uso de ferramentas de análise e mitigação de falhas, já levando a uma queda na posição de brechas específicas consideradas mais perigosas nos anos anteriores, com direito a duas delas deixando o top 10 e seguindo para posições mais inferiores, mas ainda presentes entre as 25 maiores. Um sinal positivo, mas também uma noção reforçada de que ainda há muito trabalho a ser feito.