1120 vulnerabilidades por dispositivo: problemas invisibles en redes corporativas

Un nuevo informe de NetRise analiza la composición del software, las vulnerabilidades y los riesgos no relacionados con CVE presentes en el software de equipos de red corporativos, como enrutadores, conmutadores, firewalls, puertas de enlace VPN y puntos de acceso inalámbricos.

NetRise señala que las organizaciones utilizan una compleja variedad de software para operar su equipo de red, incluidos programas de terceros, aplicaciones de código abierto, contenedores y firmware de dispositivos. Cada nuevo software implementado conlleva riesgos que a menudo pasan desapercibidos. El aumento de los ataques a la cadena de suministro de software confirma la necesidad del principio "confía, pero verifica". Las empresas deben tener una visibilidad completa de todos los componentes y dependencias de su software para minimizar los riesgos.

Los hallazgos clave del informe incluyen:

• Inventario de software para comprender los riesgos: Los investigadores de NetRise analizaron el código y crearon detallados SBOM (Software Bill of Materials) para cada dispositivo probado, encontrando un promedio de 1267 componentes de software por dispositivo.
• Análisis detallado del software supera al escaneo tradicional de vulnerabilidades: los riesgos de vulnerabilidades identificados son en promedio 200 veces mayores que los resultados de los escáneres tradicionales. Los investigadores encontraron 1120 vulnerabilidades conocidas en los componentes de software, con más de un tercio de ellas con más de 5 años de antigüedad.
• No confiar únicamente en las calificaciones de vulnerabilidad del CVSS: De las 1120 vulnerabilidades conocidas en cada dispositivo de red, más del 42% (473) se califican como "Altas" o "Críticas" según el CVSS. El número promedio de vulnerabilidades utilizadas en ataques fue de 20 por dispositivo, de las cuales solo 7 estaban accesibles a través de la red.
• El estudio subraya la importancia de crear SBOM: una lista de componentes de software individuales utilizados en la creación del software. Sin embargo, solo el 35% de las organizaciones encuestadas crean o generan tales listas. En algunos sectores, como los dispositivos médicos y la fabricación de automóviles, el uso de SBOM se ha vuelto obligatorio debido a los requisitos regulatorios.

Comprender el software dentro de una organización es fundamental para la investigación y mitigación oportunas de los ciberataques. Sin embargo, solo el 38% de las organizaciones creen que identifican y responden eficazmente a los ataques que explotan vulnerabilidades de software. El 47% de las organizaciones afirma que la eliminación de una vulnerabilidad crítica toma entre 1 mes y medio año.

Las organizaciones están adoptando cada vez más herramientas avanzadas de análisis de la cadena de suministro de software y gestión de riesgos. Estas herramientas proporcionan detallados SBOM, incluyendo firmware integrado, sistemas operativos, software de virtualización y aplicaciones, identifican vulnerabilidades y riesgos no relacionados con CVE, y priorizan los riesgos identificados.

Los gobiernos y organismos reguladores también están endureciendo las normas para garantizar la seguridad del equipo de red y los dispositivos conectados, haciendo obligatorio el cumplimiento de estándares como las recomendaciones del Instituto Nacional de Estándares y Tecnología (NIST) y el Reglamento General de Protección de Datos de la Unión Europea (GDPR).

Los dispositivos de red, como enrutadores, conmutadores, firewalls, puertas de enlace VPN y puntos de acceso inalámbricos, se han convertido en objetivos principales para los ciberataques. Las vulnerabilidades en dichos dispositivos son activamente explotadas por los atacantes, lo que los convierte en la categoría de dispositivos de TI más riesgosa. Las vulnerabilidades en los dispositivos IoT aumentaron un 136% en comparación con el año anterior, lo que subraya la necesidad de medidas de seguridad integrales para todos los dispositivos conectados.

El informe también ofrece recomendaciones para que las organizaciones mejoren la seguridad de sus equipos de red. Una recomendación clave es el análisis detallado del SBOM para lograr una visibilidad completa de los activos de software. Esto incluye la creación de SBOM integrales para todos los componentes de software, bibliotecas de terceros y dependencias, lo que ayuda a identificar vulnerabilidades que a menudo pasan desapercibidas en el escaneo tradicional.

A las organizaciones también se les recomienda centrarse en eliminar las vulnerabilidades utilizadas en ataques y las vulnerabilidades de red, en lugar de confiar únicamente en la calificación del CVSS. Al abordar las vulnerabilidades activamente atacadas, las organizaciones podrán enfrentarse de manera más efectiva a las amenazas más graves.