O VulnCheck realizou uma análise da lista KEV da CISA e na semana passada publicou um relatório que fornece um contexto importante para os dados.
Havia 311 vulnerabilidades no catálogo no início de 2022 e chegou a 868 no final do ano. Em média, mais de dez falhas exploradas foram adicionadas à lista de KEV todas as semanas em 2022.
Dos CVEs adicionados à lista no ano passado, 93 tinham um identificador CVE 2022, o que representa aproximadamente duas novas vulnerabilidades exploradas ativamente por semana.
A análise do VulnCheck mostrou que 22 dos bugs adicionados ao KEV no ano passado foram nomeados como vulnerabilidades, incluindo EternalBlue, Shellshock, Heartbleed, EskimoRoll, Dogwalk, SpoolFool, Dirty Pipe, ProxyNotShell e Ripple20.
As vulnerabilidades adicionadas pela CISA ao seu catálogo em 2022 impactaram uma ampla gama de produtos, mas sistemas operacionais e IoT representaram os maiores percentuais.
Mais de um terço das falhas de segurança adicionadas à lista de ‘patch obrigatório’ em 2022 podem ser exploradas para acesso inicial.
O catálogo KEV da CISA não fornece nenhuma informação sobre os tipos de ataques que exploram as vulnerabilidades. No entanto, o relatório da VulnCheck fornece essas informações com base em dados da própria empresa.
A empresa disse que 241 das adições de 2022 foram exploradas por agentes de ameaças (APTs), 122 por grupos de ransomware e 69 por botnets.
O VulnCheck também analisou quanto tempo leva para uma vulnerabilidade ser adicionada ao catálogo KEV da CISA, observando que seria um erro para as organizações tratá-la como um sistema de alerta antecipado.
No caso dos CVEs de 2022 – para as vulnerabilidades mais antigas, essa medição de ‘tempo para KEV’ é inútil – dez das falhas foram adicionadas no mesmo dia ou antes mesmo de uma exploração pública ou detalhes de exploração serem divulgados, e 38 foram adicionadas dentro uma semana.
“O Catálogo KEV não é um sistema de alerta precoce, mas alertar a todos sobre a exploração na natureza dentro de uma semana após a primeira exploração pública ou detalhes da exploração a uma taxa de 52% é muito respeitável. Claro, isso não conta a história completa. Há um monte de vulnerabilidades publicadas em 2022 que sabidamente foram exploradas e não estão na lista CISA KEV”, disse VulnCheck.
FONTE: SECURITYWEEK