Vulnerabilidades conhecidas ainda representam maior perigo para as empresas

Vulnerabilidades conhecidas ainda representam maior perigo para as empresas

Por Felipe Demartini | Editado por Claudio Yuge | 06 de Agosto de 2021 às 19h00
Elements/twenty20photos

A lista de vulnerabilidades de software mais perigosas de 2021, publicada na última semana pela Mitre, parece até um repeteco de notícias antigas. A organização sem fins lucrativos, vinculada aos departamentos de defesa, segurança nacional e cibernética do governo dos Estados Unidos, revelou que as quatro ameaças mais danosas de 2020 permaneceram como tais também neste ano, apenas com mudanças de posição que mostram uma persistência nos vetores de comprometimento e, ainda, uma dificuldade das corporações de se adequarem.

De acordo com o ranking CWE (Enumeração de Vulnerabilidades Comuns, traduzido da sigla em inglês), a maior ameaça de 2021 são os ataques envolvendo transbordamento de dados, ou buffer overflow, quando a escrita de dados acontece fora dos limites da memória dedicada a uma determinada aplicação. Com isso, códigos arbitrários podem ser executados em uma máquina, até mesmo de forma remota, permitindo a instalação de malwares ou a obtenção do controle pelo atacante.

A brecha se recupera de uma vice-liderança, em 2020, e jogou para a segunda posição a campeão do ano passado, a vulnerabilidade de cross-site scripting, quando um domínio ou aplicação web permite que códigos sejam rodados sobre o sistema original. Assim, um criminoso poderia, por exemplo, criar um campo falso de login e senha, com as informações sendo enviadas a servidores sob seu controle, sendo utilizadas posteriormente em outros golpes.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Inversão também entre a terceira e quarta colocações. Com a medalha de bronze, uma vulnerabilidade semelhante à campeã, mas focada na leitura de dados além dos limites da memória de uma aplicação, dando aos atacantes acesso a dados sensíveis; depois, vem a velha conhecida validação incorreta de credenciais, com sites que acabam permitindo o acesso a usuários deslogados caso eles tentem visualizar páginas diretamente, sem passarem por telas de segurança.

Ranking das 25 vulnerabilidades de software mais ameaçadoras mostra permanência de brechas graves, com aberturas já bem conhecidas apenas alternando posições ano após ano, enquanto seguem como problemas (Imagem: Reprodução/Mitre)

No top 5, a maior mudança acontece na quinta colocação, com um tratamento irregular de comandos dados a um sistema operacional, com elementos especiais que podem mudar sua natureza. A brecha, também, pode levar à execução de códigos, seja para escalar privilégios ou obter acesso a áreas ou funcionalidades que não deveria. Neste, como em todos os casos, se trata de uma vulnerabilidade conhecida, com alertas constantes de empresas de segurança e, também, presença usual no noticiário, seja em denúncias sobre vulnerabilidades em grandes serviços ou relatórios sobre vazamentos e intrusões.

A própria Mitre chama atenção para esse fato. Ao publicar a lista, a organização aponta para o fato de as ameaças permitirem que adversários tomem conta dos sistemas enquanto, ao mesmo tempo, todas que fazem parte do ranking das 25 mais perigosas são altamente fáceis de se localizar e explorar para roubar dados ou assumir o controle sobre aplicações. É, como sempre, mais um alerta vermelho para administradores de segurança, com um panorama perigoso sendo pintado sobre a persistência dessas brechas.

Ao contrário do que pode se pensar, os efeitos da pandemia do novo coronavírus devem ampliar essa permanência ainda mais. O ranking de 2021 é composto de acordo com as questões de maior impacto nos dois anos anteriores, ou seja, a ideia é que, nas próximas edições, essa permanência se mantenha. Problemas de configuração em servidores, brechas conhecidas e vulnerabilidades populares deram a tônica do primeiro ano de contágio, com a corrida acelerada para o home office deixando muitas organizações desprotegidas enquanto elas se batiam para garantir a produtividade em um ambiente que, de uma semana para a outra, teve de se tornar remoto.

“A maioria dos casos envolveu improviso, e não um planejamento adequado”, aponta Roberto Martinez, analista sênior de segurança da Kaspersky. Segundo ele, a funcionalidade foi pensada primeiro, sem que os riscos de movimentar toda a força de trabalho para casa, de uma hora para outra, fossem balanceados. O resultado ainda está sendo demonstrado, dia a dia, no noticiário de tecnologia da informação.

Mudança de postura

Adoção veloz do home office ainda é uma questão importante, mas avaliação de segurança também precisa de nova abordagem em um mundo com ataques cada vez mais especializados (Imagem: Elements/wutzkoh)

A insistência de algumas falhas em aparecerem anualmente no Top 25 CWE da Mitre também revela questões que vão além, apenas, da solução de brechas existentes ou a mitigação de ataques em andamento, levem eles o home office em conta ou não. Trata-se, na visão do especialista, de uma abordagem reativa, aplicada em riscos gerais e nos investimentos focados na compra de ferramentas e tecnologias, com menos trabalho focado, que deveria ser o foco.

A análise da Mitre concorda com essa visão. No relatório que acompanha o índice das vulnerabilidades mais perigosas, a organização aponta uma transição de comprometimentos generalizados para aberturas mais específicas. Houve, por exemplo, uma queda no primeiro tipo de ameaça, que hoje compreende cerca de 20% dos casos analisados, contra um crescimento na segunda categoria, que hoje corresponde a 71%.

Esse movimento também se reflete nos postos inferiores da lista. Uma brecha relacionada à má configuração de permissões, dando aos usuários logados acesso a mais recursos do que deveria, saiu da 41ª posição em 2020 para 19ª em 2021, enquanto uma brecha relacionada à falta de autenticação em funções críticas subiu do 24º lugar para o 11º. Não é coincidência que, em ambos os casos, se tratam de preferidas dos atacantes, podendo dar acesso a redes corporativas ou dados sigilosos.

Para especialista, foco da estratégia de cibersegurança deve estar nas ameaças focadas, privilegiando a proteção de sistemas críticos e reduzindo o impacto residual de vetores que, eventualmente, não recebam o mesmo nível de atenção (Imagem: DC_Studio/Envato)

“Um dos objetivos da cibersegurança é a redução de riscos até um nível aceitável para a organização. [É importante] conhecer as ameaças reais, os adversários específicos e as habilidades e capacidades tecnológicas que eles possuem”, continua Martinez. Na visão dele, a ideia é encontrar um nível de riscos aceitável para uma empresa, algo que só pode ser atingido com o uso de diferentes fontes de inteligência e conhecimento acionável, que permita uma tomada rápida de decisões.

Esse trabalho de repensar estratégias de segurança digital, de acordo com o especialista, passa por entender os elementos críticos para o funcionamento de uma organização e de que forma eles podem ser protegidos. É o que o analista chama de “modelagem de riscos e ameaças”, considerando diferentes cenários de ataques, inclusive aqueles que possam surgir no futuro. “Implementar um programa de gerenciamento de vulnerabilidades que funcione de forma contínua ajuda a identificar rapidamente novas [brechas] relacionadas aos ativos.”

Trata-se de um equilíbrio, no final das contas, com Martinez apontando que esse trabalho de direcionamento também implica na presença de riscos residuais. O ideal, aponta, é que caso tais vulnerabilidades efetivamente sejam utilizadas por atacantes, elas não tenham um impacto significativo na operação, principalmente no que toca dados e aplicações sensíveis.

Também é uma visão corroborada pela análise da Mitre, que indica um aumento na conscientização e no uso de ferramentas de análise e mitigação de falhas, já levando a uma queda na posição de brechas específicas consideradas mais perigosas nos anos anteriores, com direito a duas delas deixando o top 10 e seguindo para posições mais inferiores, mas ainda presentes entre as 25 maiores. Um sinal positivo, mas também uma noção reforçada de que ainda há muito trabalho a ser feito.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.