{"id":2396,"date":"2023-04-05T13:59:14","date_gmt":"2023-04-05T16:59:14","guid":{"rendered":"https:\/\/aiqon.com.br\/blog\/?p=2396"},"modified":"2023-04-12T17:15:18","modified_gmt":"2023-04-12T20:15:18","slug":"o-perigo-das-vulnerabilidades-de-codigo-aberto-mal-categorizadas","status":"publish","type":"post","link":"https:\/\/aiqon.com.br\/blog\/o-perigo-das-vulnerabilidades-de-codigo-aberto-mal-categorizadas\/","title":{"rendered":"O perigo das vulnerabilidades de c\u00f3digo aberto mal categorizadas"},"content":{"rendered":"<div id=\"bsf_rt_marker\"><\/div><p>O perfil de vulnerabilidades e exposi\u00e7\u00f5es comuns (CVEs) aumentou nos \u00faltimos anos. As organiza\u00e7\u00f5es agora prestam muito mais aten\u00e7\u00e3o a eles do que costumavam. Claro, ainda h\u00e1 muitos casos registrados de empresas que foram invadidas devido \u00e0 falha em corrigir um <a href=\"https:\/\/aiqon.com.br\/blog\/explicar-o-cve-e-o-cvss\/\">CVE<\/a> de um ano ou mais atr\u00e1s. Existem in\u00fameros exemplos de empresas que levam semanas e \u00e0s vezes meses para agir uma vez que um CVE de alta prioridade \u00e9 emitido.<\/p><div id=\"ez-toc-container\" class=\"ez-toc-v2_0_85 ez-toc-wrap-left counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Nesse Artigo<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabela de conte\u00fado\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/aiqon.com.br\/blog\/o-perigo-das-vulnerabilidades-de-codigo-aberto-mal-categorizadas\/#Nova_pesquisa_afirma_ameacas_de_codigo_aberto_superestimadas\" >Nova pesquisa afirma amea\u00e7as de c\u00f3digo aberto superestimadas<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/aiqon.com.br\/blog\/o-perigo-das-vulnerabilidades-de-codigo-aberto-mal-categorizadas\/#Priorizar_a_correcao_de_vulnerabilidades_requer_contexto\" >Priorizar a corre\u00e7\u00e3o de vulnerabilidades requer contexto<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/aiqon.com.br\/blog\/o-perigo-das-vulnerabilidades-de-codigo-aberto-mal-categorizadas\/#A_aplicacao_de_patches_e_a_chave_para_o_sucesso_da_correcao_de_CVE\" >A aplica\u00e7\u00e3o de patches \u00e9 a chave para o sucesso da corre\u00e7\u00e3o de CVE<\/a><\/li><\/ul><\/nav><\/div>\n\n<p>No entanto, na grande maioria dos casos, os CVEs recebem um status quase evang\u00e9lico nas organiza\u00e7\u00f5es. Alguns constroem seus programas de resposta de seguran\u00e7a em grande parte em torno de CVEs emitidos. Por exemplo, se um CVE tiver uma classifica\u00e7\u00e3o de gravidade 7 ou superior, as empresas tendem a coloc\u00e1-lo no topo da fila, deixando patches de prioridade mais baixa para serem implantados posteriormente \u2013 ou, em muitos casos, nunca mesmo.<\/p>\n<p>Existem in\u00fameras falhas neste modo de opera\u00e7\u00e3o. Os cibercriminosos aprenderam a usar essa t\u00e1tica. Sim, os hackers procuram cuidadosamente endpoints e sistemas que falharam ao implantar patches de alta prioridade para lidar com CVEs \u2013 e eles esfregam as m\u00e3os de alegria quando encontram mais uma v\u00edtima desatenta. Mas agora eles tamb\u00e9m montam ataques multifacetados que tiram vantagem de falhas de menor prioridade que eles sabem que s\u00e3o frequentemente ignoradas. Assim, eles lan\u00e7ar\u00e3o uma campanha que sonda simultaneamente os <a href=\"https:\/\/aiqon.com.br\/blog\/explicar-o-cve-e-o-cvss\/\">CVEs<\/a> de prioridade mais alta e de prioridade mais baixa que n\u00e3o foram corrigidos. Se apenas os inferiores estiverem dispon\u00edveis, eles podem ser usados para ganhar uma posi\u00e7\u00e3o na empresa da qual podem causar mais danos.<\/p>\n<p><a href=\"https:\/\/lps.aiqon.com.br\/guia-patch\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-2306 size-full\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2022\/10\/guia-patch.png\" alt=\"vulnerabilidades de c\u00f3digo aberto\" width=\"1000\" height=\"200\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2022\/10\/guia-patch.png 1000w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2022\/10\/guia-patch-300x60.png 300w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2022\/10\/guia-patch-768x154.png 768w\" sizes=\"auto, (max-width: 1000px) 100vw, 1000px\" \/><\/a><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Nova_pesquisa_afirma_ameacas_de_codigo_aberto_superestimadas\"><\/span>Nova pesquisa afirma amea\u00e7as de c\u00f3digo aberto superestimadas<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>A JFrog acaba de anunciar outra falha nos programas de defesa de seguran\u00e7a orientados para CVE. <a href=\"https:\/\/jfrog.com\/whitepaper\/in-depth-analysis-of-open-source-security-vulnerabilities-most-impactful-to-devops-and-devsecops-teams-3\/\">Seus pesquisadores analisaram as 10 vulnerabilidades de software<\/a> de c\u00f3digo aberto mais prevalentes em 2022. Suas descobertas? As classifica\u00e7\u00f5es de gravidade da maioria dos CVEs para sistemas de c\u00f3digo aberto foram superestimadas.<\/p>\n<p>As classifica\u00e7\u00f5es de gravidade no National Vulnerability Database (NVD) seguem esta rubrica de pontua\u00e7\u00e3o: Os n\u00edveis de gravidade cr\u00edtica s\u00e3o classificados entre 9 e 10. A gravidade alta \u00e9 de 7 a 8,9. Uma classifica\u00e7\u00e3o M\u00e9dia est\u00e1 entre 4 e 6,9, e uma classifica\u00e7\u00e3o Baixa vai at\u00e9 3,9. No entanto, quando os pesquisadores do JFrog avaliaram o impacto no mundo real dessas vulnerabilidades e aplicaram an\u00e1lises contextuais \u00e0s suas avalia\u00e7\u00f5es, eles descobriram que muitas das pontua\u00e7\u00f5es atribu\u00eddas a bugs de c\u00f3digo aberto eram exageradas. Como leva cerca de 246 dias para remediar completamente um problema de seguran\u00e7a, eles recomendaram que as equipes de seguran\u00e7a implementassem recursos apenas nas vulnerabilidades que realmente importam.<\/p>\n<p>De acordo com o relat\u00f3rio, a maioria das vulnerabilidades de c\u00f3digo aberto avaliadas eram muito mais dif\u00edceis de explorar do que as relatadas e, portanto, n\u00e3o mereciam uma alta classifica\u00e7\u00e3o de gravidade de NVD. A consequ\u00eancia de seguir o sistema NVD, portanto, \u00e0s vezes pode fazer com que as organiza\u00e7\u00f5es \u201cdesperdicem tempo e recursos valiosos para mitigar uma vulnerabilidade que \u00e9 extremamente improv\u00e1vel de ter qualquer impacto no mundo real em seus sistemas\u201d, disse o relat\u00f3rio.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Priorizar_a_correcao_de_vulnerabilidades_requer_contexto\"><\/span>Priorizar a corre\u00e7\u00e3o de vulnerabilidades requer contexto<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>A <a href=\"http:\/\/syxsense.com\">Syxsense<\/a>, por exemplo, encontra um problema muito semelhante em na base de clientes. Muitas organiza\u00e7\u00f5es se concentram em corrigir as vulnerabilidades mais graves, mas muitas vezes n\u00e3o t\u00eam tempo para lidar com as vulnerabilidades de gravidade m\u00e9dia ou baixa. Eles foram simplesmente inundados com o CVE de perfil mais grave ou mais alto do dia. No entanto, isso n\u00e3o significa que essas vulnerabilidades n\u00e3o eram relevantes. Nos \u00faltimos anos, vimos muitas vulnerabilidades de gravidade m\u00e9dia ou baixa sendo exploradas para obter uma posi\u00e7\u00e3o inicial em uma empresa.<\/p>\n<p>\u00c9 por isso que desenvolvemos uma classifica\u00e7\u00e3o de risco e prioriza\u00e7\u00e3o com base na superf\u00edcie de ataque de uma organiza\u00e7\u00e3o com vulnerabilidades e postura de endpoint. O Syxscore aproveita as avalia\u00e7\u00f5es de gravidade do NIST e do fornecedor em rela\u00e7\u00e3o ao status de integridade dos endpoints em seu ambiente. \u00c9 uma avalia\u00e7\u00e3o personalizada de quais dispositivos s\u00e3o vulner\u00e1veis e a criticidade das atualiza\u00e7\u00f5es para a prote\u00e7\u00e3o geral de sua rede, dando a voc\u00ea a capacidade de direcionar endpoints que representam os n\u00edveis de risco mais s\u00e9rios.<\/p>\n<p>Embora as pontua\u00e7\u00f5es de gravidade da vulnerabilidade possam ser \u00fateis, \u00e9 simplesmente outro ponto de dados. O que as organiza\u00e7\u00f5es realmente precisam \u00e9 de um contexto personalizado, incluindo a postura de seguran\u00e7a de seus endpoints e os controles de seguran\u00e7a existentes que podem reduzir o risco de uma vulnerabilidade.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"A_aplicacao_de_patches_e_a_chave_para_o_sucesso_da_correcao_de_CVE\"><\/span>A aplica\u00e7\u00e3o de patches \u00e9 a chave para o sucesso da corre\u00e7\u00e3o de CVE<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Al\u00e9m do contexto, a aplica\u00e7\u00e3o de patches \u00e9 um componente cr\u00edtico para o gerenciamento de vulnerabilidades. Muitas vezes, vulnerabilidades cr\u00edticas ter\u00e3o patches lan\u00e7ados rapidamente \u2013 \u00e0s vezes no mesmo dia em que a vulnerabilidade se torna p\u00fablica. Nesses casos, manter-se atualizado \u00e9 a parte mais dif\u00edcil.<\/p>\n<p>\u00c9 por isso que automa\u00e7\u00e3o, invent\u00e1rio e implanta\u00e7\u00e3o de patches podem eliminar longos atrasos nos programas de patches. Se voc\u00ea puder priorizar constantemente as vulnerabilidades com contexto baseado em seu ambiente, corrigir as mais importantes rapidamente e validar se essas corre\u00e7\u00f5es foram aplicadas adequadamente, voc\u00ea reduzir\u00e1 o risco organizacional e a superf\u00edcie de ataque.<\/p>\n<p>Se voc\u00ea quiser saber mais sobre como automatizar seu programa de patches, <a href=\"https:\/\/lps.aiqon.com.br\/syxsense_trial\">agende uma demonstra\u00e7\u00e3o hoje<\/a>.<\/p>\n<figure class=\"wp-block-embed wp-block-embed-youtube is-type-video is-provider-youtube epyt-figure\"><div class=\"wp-block-embed__wrapper\"><div class=\"epyt-video-wrapper\"><iframe loading=\"lazy\"  style=\"display: block; margin: 0px auto;\"  id=\"_ytid_42953\"  width=\"1140\" height=\"641\"  data-origwidth=\"1140\" data-origheight=\"641\" src=\"https:\/\/www.youtube.com\/embed\/sMqA0ViWdzQ?enablejsapi=1&autoplay=0&cc_load_policy=0&cc_lang_pref=pt&iv_load_policy=3&loop=0&rel=0&fs=1&playsinline=0&autohide=2&theme=dark&color=red&controls=1&disablekb=0&\" class=\"__youtube_prefs__  no-lazyload\" title=\"YouTube player\"  allow=\"fullscreen; accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen data-no-lazy=\"1\" data-skipgform_ajax_framebjll=\"\"><\/iframe><\/div><\/div><\/figure>\n","protected":false},"excerpt":{"rendered":"<p>O perfil de vulnerabilidades e exposi\u00e7\u00f5es comuns (CVEs) aumentou nos \u00faltimos anos. As organiza\u00e7\u00f5es agora prestam muito mais aten\u00e7\u00e3o a eles do que costumavam. Claro, ainda h\u00e1 muitos casos registrados de empresas que foram invadidas devido \u00e0 falha em corrigir um CVE de um ano ou mais atr\u00e1s. Existem in\u00fameros exemplos de empresas que levam [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":2399,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_feature_clip_id":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_post_was_ever_published":false},"categories":[8],"tags":[244,9,86],"class_list":["post-2396","post","type-post","status-publish","format-standard","has-post-thumbnail","category-patch-management","tag-cves","tag-patch","tag-vulnerabilidade","czr-hentry"],"jetpack_featured_media_url":"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2023\/04\/cves.webp.webp","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2396","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/comments?post=2396"}],"version-history":[{"count":2,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2396\/revisions"}],"predecessor-version":[{"id":2398,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2396\/revisions\/2398"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media\/2399"}],"wp:attachment":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media?parent=2396"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/categories?post=2396"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/tags?post=2396"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}