Principais vulnerabilidades que os CISOs precisam priorizar

Uma lista das sete principais falhas de segurança descobertas neste semestre para ajudar as equipes de segurança a priorizar os patches na sua organização

A Rezilion, fornecedora de uma plataforma de gerenciamento, detecção e eliminação automática de riscos     à cadeia de suprimentos de software listou as sete principais vulnerabilidades descobertas neste semestre para ajudar as equipes de segurança a priorizar os patches na sua organização. “As equipes de segurança estão tão sobrecarregadas com o gerenciamento de vulnerabilidades e não é mais possível corrigir tudo. Com lacuna de habilidades e a falta de pessoal nas equipes de segurança, as organizações realmente precisam priorizar os patches que fazem sentido”, disse a empresa em seu blog.

Como regra geral, Rezilion disse que as equipes de segurança devem se concentrar nas vulnerabilidades recentes do Apache Superset, Papercut, MOVEit e ChatGPT. O diretor de pesquisa de vulnerabilidade da empresa, Yotam Perkal, explica que, juntamente com os problemas contínuos de pessoal, as equipes de segurança devem priorizar quais patches focar por causa das mais de 20 mil vulnerabilidades relatadas a cada ano, sendo que menos de 5% são realmente explorados.

“Às vezes, as vulnerabilidades recebem muita atenção no início e uma pontuação de gravidade muito alta, mas depois as pessoas reconhecem que não são tão graves”, disse Perkal. “As equipes de segurança precisam examinar os processos e as fontes de informação que os ajudarão a priorizar melhor e obter contexto sobre a vulnerabilidade.”

Confira, a seguir, as principais vulnerabilidades identificadas pela Rezilion:

  • JsonWebToken (CVE-2022-23529).
  • ChatGPT (CVE-2023-28858).
  • Apache Superconjunto (CVE-2023-27524).
  • PaperCut NG/MF (CVE-2023-27350).
  • Fortinet FortiOS (CVE-2022-41328).
  • Adobe ColdFusion (CVE-2023-26360).
  • Vulnerabilidade MOVEit (CVE-2023-34362).

Perkal disse que um bom exemplo de uma vulnerabilidade que não era tão grave quanto se acreditava inicialmente era o bug JsonWebToken, que foi classificado pela primeira vez com um escore alto, de 9,8, no sistema de pontuação comum de vulnerabilidades (CVSS). No entanto, após um exame detalhado por pesquisadores de segurança, a gravidade dessa vulnerabilidade foi reavaliada e, por fim, retirada. Perkal disse que isso ressalta a importância de análises rigorosas e feedback robusto da comunidade para garantir avaliações e mitigação precisas.

Em termos da vulnerabilidade mais difundida em muitas organizações, Perkal disse que as equipes de segurança devem procurar corrigir a vulnerabilidade do PaperCut porque quase todos os tipos de organizações gerenciam servidores de impressão. Essa vulnerabilidade, relatada pela Zero Day Initiative e publicada em março, é um bug de execução remota de código, com CVSS de 9.8, explorado ativamente em aplicativos de gerenciamento de impressão PaperCut NG e PaperCut MF. Devido à vulnerabilidade, que decorre de um problema de controle de acesso no Java SetupCompleted no arquivo jar pcng-server-web, um invasor pode facilmente ignorar a autenticação e acessar uma página com permissões de administrador. Depois de ignorar a autenticação, ele pode criar scripts no PaperCut e executar código com privilégios de sistema no servidor de impressão afetado.

Outra que merece prioridade é a  vulnerabilidade do ChatGPT. Embora a vulnerabilidade do ChatGPT tenha apenas uma pontuação CVSS de 3.7, Perkal disse que as equipes de segurança também devem se concentrar nisso porque as organizações estão apenas começando com o ChatGPT e a maioria não configurou controles de segurança adequados. Segundo ele, com o ChatGPT, as equipes de segurança precisam se concentrar nos controles e processos que estão estabelecendo em torno dessa nova tecnologia.

“As pessoas não querem perder o trem e estão correndo para integrá-lo em suas organizações”, disse Perkal. “Mas é novo e ainda não está maduro, especialmente o ecossistema ao seu redor, todos os aplicativos de código aberto baseados nele e plug-ins em torno dele são realmente novos. Portanto, as pessoas precisam estar atentas a isso e não se apressar em integrar ao seu ciclo de vida de desenvolvimento de software. Eles precisam verificar novamente antes de confiar em tais aplicativos.”

A mesma atenção deve ser dada ao Apache Superset. A Horizon3.ai descobriu em abril a vulnerabilidade crítica, de CVSS 9.8, no Apache Superset. Ele foi causada pelo uso da configuração padrão SECRET_KEY gerada pelo aplicativo. O uso da chave não é seguro porque está disponível publicamente e pode ser facilmente descoberto por invasores. Depois de obter a chave, eles podem gerar um cookie e assiná-lo usando a chave, permitindo que obtenham acesso não autorizado ao aplicativo.

Em resposta à vulnerabilidade, rastreada como CVE-2023-27524, os desenvolvedores da Horizon3.ai implantaram uma correção que impede que o servidor seja iniciado se estiver configurado para implantar com a SECRET_KEY padrão.

No caso do Fortinet FortiOS (CVE-2022-41328) a prioridade sede ao fato de ser uma vulnerabilidade de dia zero (CVSS 7.1) que vem sendo explorada. Em maio, a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA relatou dez vulnerabilidades exploradas conhecidas no Fortinet FortiOS. Operadores de ameaças que exploram a vulnerabilidade instalaram malware projetado para estabelecer contato com um servidor remoto para baixar arquivos, exfiltrar dados do host comprometido e conceder acesso remoto ao shell. Os invasores visaram agências governamentais e grandes organizações por meio da vulnerabilidade, resultando em perda de dados e sistema operacional e corrupção de arquivos.

Dadas essas e outras vulnerabilidades, os líderes de segurança não podem subestimar a capacidade de hackers determinados a aproveitar bugs de software para lançar ataques. Eles precisam educar a si mesmos e suas equipes sobre as ameaças mais perigosas.