Synack, la principal plataforma de tests de seguridad, ha publicado hoy su primer informe sobre el estado de las vulnerabilidades, State of Vulnerabilities, en el que se destacan los tres principales fallos de software que ha detectado la red mundial de investigadores de seguridad de élite de la empresa.
Los resultados se basan en un récord de 14.800 vulnerabilidades explotables descubiertas en 2022 por el Synack Red Team (SRT), la comunidad de hackers éticos más fiables y cualificados del mundo.
Según el informe, Broken Access Control es el riesgo más común para las empresas, y alcanza el 39% de todas las vulnerabilidades descubiertas durante las pruebas de pentesting. Cuando se explotan, estas vulnerabilidades otorgan al atacante privilegios muy superiores a los previstos por los desarrolladores. Por ejemplo, un atacante podría utilizar una vulnerabilidad de control de acceso para escalar el acceso de un usuario normal, asumiendo el control administrativo total sobre una aplicación web.
Los fallos de inyección – incluidas las vulnerabilidades de tipo Cross-Site Scripting (XSS) y SQL- ocupan el segundo lugar. Las vulnerabilidades de inyección surgen año tras año debido al hecho de que pueden aparecer en cualquier parte de la superficie de ataque de una organización y, a menudo, conducen a un compromiso total de la red. Junto con la categoría anterior (Broken Access Control), ambas representaron tres cuartas partes de todas las vulnerabilidades encontradas.
La tercera vulnerabilidad más común, los fallos de identificación y autenticación, representa el 6% de los casos. Este tipo de vulnerabilidades proliferan en la complejidad de las aplicaciones web y, cuando se explotan, permiten a un atacante hacerse pasar por un usuario legítimo, lo que dificulta la detección de una brecha de seguridad hasta que es demasiado tarde.
«Las organizaciones luchan por proteger sus superficies de ataque, ya que los cibercriminales encuentran formas cada vez más creativas de explotar vulnerabilidades», afirma Jay Kaplan, CEO y cofundador de Synack. «Nuestro primer informe State of Vulnerabilities subraya la importancia de los tests de seguridad continuos para solucionar estas deficiencias y abordar sus causas fundamentales antes de que provoquen una costosa brecha.»
El informe se basa en datos de tests de seguridad realizados en la base global de clientes de Synack y se alinea con las categorías de vulnerabilidad del documento de concienciación estándar OWASP Top 10. Los más de 1.500 miembros del SRT pasaron colectivamente 35.700 días probando los activos de los clientes de Synack el año pasado, incluyendo la nube, interfaces de programación de aplicaciones, aplicaciones web, infraestructuras de hosts y aplicaciones móviles.
Otras conclusiones del informe:
- El 40% de las vulnerabilidades son de severidad “alta” o “crítica”, según el marco del Sistema Común de Puntuación de Vulnerabilidades
- Las vulnerabilidades XSS cayeron un 44% de 2021 a 2022 a medida que las organizaciones desplegaban técnicas defensivas más eficaces
- Las vulnerabilidades explotables de las API se han convertido en un riesgo cada vez mayor.
Para leer el informe completo, por favor visite: State of Vulnerabilities 2023.
