Falhas de segurança relacionadas no catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA devem ser analisadas levando em consideração o contexto específico de cada ambiente, de acordo com um relatório divulgado pela empresa israelense Ox Security.
A notícia também traz à luz a questão dos Pacotes NPM maliciosos que coletam dados sensíveis e o evento Pwn2Own Berlin, que oferece prêmios para quem encontrar falhas críticas.
Apesar do KEV listar aproximadamente 1.300 vulnerabilidades que foram exploradas na prática e ser visto como uma referência confiável, a pesquisa sugere que abordá-las com o mesmo nível de urgência pode levar à sobrecarga e ao desperdício de recursos.
A Ox Security realizou uma análise dos 10.000 CVEs (Common Vulnerabilities and Exposures) mais frequentes em ambientes de contêineres de nuvem e descobriu que 10 das 25 falhas mais significativas listadas no KEV para esse tipo de aplicação, na verdade, não representam uma ameaça real.
O relatório especifica que tais vulnerabilidades necessitam de condições particulares para serem exploradas ou são tecnicamente inexploráveis nesses contextos.
Isso inclui falhas que impactam sistemas como Android, Chrome e Safari, muitas das quais só podem ser exploradas mediante acesso físico ou local, ou em cenários que não se aplicam ao ambiente de nuvem.
A Ox enfatiza que, embora o KEV permaneça como um recurso essencial, cada CVE precisa ser examinado com base em sua relevância para a organização em questão.
Isso envolve considerar aspectos como o ambiente vulnerável, existência de exploits públicos, impacto real e viabilidade de exploração.
Esta publicação surge uma semana depois de a CISA e o NIST proporem a introdução do LEV, um novo critério destinado a complementar o KEV, focando na probabilidade de uma vulnerabilidade ser explorada.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...