Encontrar, gestionar y parchear vulnerabilidades de seguridad en cualquier red, independientemente de su tamaño, es una tarea titánica.
Sólo en la primera semana de 2024, se divulgaron en todo el mundo 621 nuevas vulnerabilidades y exposiciones comunes a la seguridad informática (CVE), que abarcan una amplia gama de aplicaciones, software y hardware que podría haber en cualquier red.
El simple hecho de ver el número de vulnerabilidades de seguridad que hay que mitigar o parchear resulta abrumador para cualquier equipo informático. Así que, en su nivel más básico, es fácil ver por qué los administradores e investigadores de seguridad se sienten atraídos por el atractivo de un punto de datos singular que mide la gravedad de una vulnerabilidad, destilada a una escala de 0 a 10.
La mayoría de los observadores casuales de ciberseguridad estarán familiarizados con los términos básicos como «crítico», «grave» o «moderado» cuando se trata de medir la gravedad de una vulnerabilidad en particular: se suelen utilizar en artículos de noticias o escritos técnicos sobre un problema de seguridad cuando se hace público y se basa en la puntuación CVSS de una vulnerabilidad.
Ahora, la forma en que se puntúan esas vulnerabilidades está cambiando, y es probable que muchas organizaciones adopten el recién creado CVSS 4.0 este año con la esperanza de proporcionar un nuevo contexto en torno a cómo, exactamente, pueden explotarse las vulnerabilidades y qué tipo de riesgo presentan para los objetivos.
CVSS fue creado y está gestionado por el Foro de Equipos de Respuesta a Incidentes y Seguridad (FIRST), una organización sin ánimo de lucro formada por equipos de respuesta a incidentes de organizaciones gubernamentales y empresas privadas.
FIRST describe el sistema de puntuación CVSS como «una forma de capturar las principales características de una vulnerabilidad y producir una puntuación numérica que refleje su gravedad. La puntuación numérica puede entonces traducirse en una representación cualitativa (como baja, media, alta y crítica) para ayudar a las organizaciones a evaluar y priorizar adecuadamente sus procesos de gestión de vulnerabilidades».
Y aunque reducir el riesgo a una simple puntuación numérica es útil para muchos en el ámbito de la seguridad, también es un sistema imperfecto que a menudo puede omitir un contexto importante y no ofrece una imagen completa de cómo gestionar mejor los sistemas vulnerables de una red.
Novedades de CVSS 4.0
CVSS 3.1, el modelo actual utilizado por muchas organizaciones para medir la gravedad de las vulnerabilidades, existe desde hace unos cuatro años. Con CVSS 4.0, los creadores esperan añadir un contexto adicional sobre cómo un atacante podría explotar una determinada vulnerabilidad y qué requisitos específicos deben cumplirse antes de que un adversario pueda llevar a cabo la explotación.
Jerry Gamblin, ingeniero principal de detección y respuesta a amenazas de Cisco Vulnerability Management, dijo en un episodio reciente de Talos Takes que la principal ventaja para los usuarios que sólo quieren centrarse en la puntuación de gravedad (y si un problema es particularmente crítico) estará en un nuevo campo de «requisitos de ataque» para puntuar una vulnerabilidad. Según Gamblin, es probable que las vulnerabilidades que requieren que el software objetivo se configure de una determinada manera fuera de su estado predeterminado para ser vulnerable tengan puntuaciones de gravedad más bajas según CVSS 4.0.
FIRST también afirma que CVSS 4.0 ofrece «una mayor granularidad mediante la adición de nuevas métricas y valores de base», lo que incluye proporcionar a los lectores y administradores nueva información sobre qué requisitos de ataque existen para que un adversario tenga éxito, y si se requiere o no la interacción del usuario para que una vulnerabilidad sea explotada.
La fórmula también incluye un mayor enfoque en la resistencia en el espacio del Internet de las cosas y los sistemas de control industrial, que se ha convertido en un gran foco de atención de la comunidad de ciberseguridad.
Una vez que CVSS 4.0 haya estado en el mercado el tiempo suficiente, es probable que FIRST publique una actualización en 4.1 que corrija cualquier incoherencia descubierta durante el despliegue o que añada el contexto adicional que falta, aunque no hay un calendario concreto de cuándo ocurrirá.
CVSS 4.0 no empezará a aparecer en la mayoría de los avisos sobre vulnerabilidades que los usuarios están acostumbrados a leer hasta finales de este año, cuando las organizaciones que gestionan la publicación y divulgación de vulnerabilidades empiecen a adoptar CVSS 4.0, como la National Vulnerability Database, lo que no ocurrirá hasta finales de este año.
Yves Younan, jefe del equipo de investigación de vulnerabilidades de Talos, que descubre y divulga cientos de nuevas vulnerabilidades cada año, dijo que podría pasar un año o más antes de que los avisos de vulnerabilidades de Talos empiecen a utilizar CVSS 4.0 a medida que se solucionen los problemas. Talos tampoco adoptó inicialmente CVSS 3.0 cuando se publicó hace cinco años.
¿Qué significa la puntuación de gravedad?
Por lo general, una puntuación CVSS más alta significa que una vulnerabilidad es más grave que otras y debe abordarse antes que otras con puntuaciones de gravedad más bajas.
Por ejemplo, a Log4shell (CVE-2021-44228), una vulnerabilidad crítica de ejecución remota de código en la popular biblioteca Log4j de Apache Foundation, se le asignó una puntuación máxima de 10 sobre 10 en diciembre de 2021, cuando se descubrió por primera vez. La infame vulnerabilidad fue ampliamente explotada en todo el mundo y sigue siendo un problema hoy en día.
Aunque esta puntuación parece objetiva a la hora de medir la gravedad de un problema, la puntuación CVSS puede verse influida por el investigador que informa de la vulnerabilidad y el proveedor que debe parchear el problema.
Talos utiliza la calculadora CVSS para crear sus propias puntuaciones de gravedad, según Younan. Finalmente, Talos espera a que MITRE Corp. asigne un CVE y se comunica con el proveedor afectado para publicar un parche. Sin embargo, ciertos aspectos de cómo se calcula el CVSS pueden ser subjetivos para la organización que lo puntúa, como por ejemplo si consideran que una vulnerabilidad es especialmente «fácil» o «difícil» de explotar. Una gran ventaja del CVSS 4.0 es que esta determinación tiene un impacto mucho menor en la puntuación en comparación con el CVSS 3.1, en el que causaría un cambio significativo en la puntuación.
Sin embargo, esa puntuación final que se hace pública es especialmente importante, ya que un problema de seguridad del que se hace eco la prensa o que se difunde ampliamente en las redes sociales a menudo puede dar lugar a que más atacantes intenten explotar el problema en software o hardware sin parchear y, por tanto, a que aumente la urgencia de la necesidad de parchear el problema por parte de los administradores.
La puntuación de gravedad de una vulnerabilidad individual tampoco cuenta toda la historia sobre un posible exploit. Según Younan, muchos ataques y brechas son el resultado de adversarios que encadenan múltiples vulnerabilidades para atacar un producto o servicio concreto. Como destaca Talos en muchos de sus artículos sobre Vulnerability Deep Dive, los atacantes pueden utilizar una serie de vulnerabilidades con puntuaciones de gravedad relativamente bajas para llevar a cabo un ataque más grave o incluso hacerse con el control total de un sistema.
¿Cómo afectan las puntuaciones de gravedad a la gestión de vulnerabilidades?
Aunque las puntuaciones de gravedad son las que acaparan los titulares, la cadencia de aplicación de parches y la gestión de vulnerabilidades deben tener en cuenta varios factores.
Cada organización tendrá su propio enfoque para abordar la aplicación de parches y la actualización de sus sistemas con sus necesidades individuales, dijo Gamblin, lo que significa que no es tan simple como parchear primero las vulnerabilidades de gravedad 10 sobre 10, luego 9,9 sobre 10, etc.
Ciertas tecnologías, pueden ayudar a los administradores a priorizar la aplicación de parches en sus sistemas y ver a qué vulnerabilidades están expuestas sus redes.
Jerry Gamblin insta a todos los usuarios y administradores a parchear primero las vulnerabilidades de cualquier software o hardware que esté directamente expuesto a Internet, sin tener en cuenta si la vulnerabilidad ha recibido una puntuación «crítica» o no.
«Todo lo que esté expuesto a Internet debe ser parcheado, porque es ahí donde vemos la mayoría de los ataques», dijo en el episodio de Talos Takes. «Hoy en día hay muy pocos ataques físicos o locales».
Después de eso, los parches deben centrarse en vulnerabilidades específicas que podrían conducir a la ejecución remota de código, porque esos son los problemas que los atacantes tienen más probabilidades de explotar, dijo. Aunque las vulnerabilidades de ejecución remota de código suelen recibir puntuaciones de gravedad más altas, no siempre es así.
También es importante dar prioridad al parcheado de los sistemas a los que los clientes o empleados acceden a diario en una organización, como los clientes de correo electrónico o cualquier software para el que los empleados tengan credenciales dedicadas y que almacene información sensible.
Como señalamos en el informe 2023 Year in Review, la infraestructura de red también está siendo atacada con más frecuencia, por lo que es importante parchear cualquier dispositivo periférico que esté en contacto con Internet, como routers y switches.