La ruptura de los controles de acceso, el fallo de seguridad más común durante 2022
- Seguridad
Los principales fallos de software detectados en 2022 por Synack, a través de su red mundial de investigadores, fueron los relacionados con la ruptura de los controles de acceso, seguidos por los de inyección y los de identificación y autenticación. Así lo ha revelado en su informe sobre el estado de las vulnerabilidades.
|
Recomendados.... » Mejorar resultados empresariales con la integración de comunicaciones unificadas y contact center Leer
|
La plataforma de tests de seguridad Synack ha publicado su primer informe sobre el estado de las vulnerabilidades, en el que se destacan los tres principales fallos de software que ha detectado la red mundial de investigadores de seguridad de élite de la empresa.
Los resultados, que se basan en un récord de 14.800 vulnerabilidades explotables descubiertas en 2022 por el Synack Red Team (SRT), su comunidad de hackers éticos, la ruptura de los controles de acceso (Broken Access Control) es el riesgo más común para las empresas, y alcanza el 39% de todas las vulnerabilidades descubiertas durante las pruebas de pentesting. Cuando se explotan, estas vulnerabilidades otorgan al atacante privilegios muy superiores a los previstos por los desarrolladores. Por ejemplo, un atacante podría utilizar una vulnerabilidad de control de acceso para escalar el acceso de un usuario normal, asumiendo el control administrativo total sobre una aplicación web.
Los fallos de inyección, que incluyen las vulnerabilidades de tipo Cross-Site Scripting (XSS) y SQL, ocupan el segundo lugar. Las vulnerabilidades de inyección surgen año tras año debido al hecho de que pueden aparecer en cualquier parte de la superficie de ataque de una organización y, a menudo, conducen a un compromiso total de la red. Junto con la categoría anterior, suman tres cuartas partes de todas las vulnerabilidades encontradas.
La tercera vulnerabilidad más común, los fallos de identificación y autenticación, representa el 6% de los casos. Este tipo de vulnerabilidades proliferan en la complejidad de las aplicaciones web y, cuando se explotan, permiten a un atacante hacerse pasar por un usuario legítimo, lo que dificulta la detección de una brecha de seguridad hasta que es demasiado tarde.
Otras conclusiones del informe son que el 40% de las vulnerabilidades son de severidad “alta” o “crítica”, según el marco del Sistema Común de Puntuación de Vulnerabilidades. Además, las vulnerabilidades XSS cayeron un 44% de 2021 a 2022 a medida que las organizaciones desplegaban técnicas defensivas más eficaces, y que las vulnerabilidades explotables de las API se han convertido en un riesgo cada vez mayor.
