Estudo encontra 400.000 vulnerabilidades em 2.200 dispositivos virtuais

Os dispositivos virtuais podem ser muito úteis para as organizações, pois eliminam a necessidade de hardware dedicado, geralmente são baratos ou gratuitos, são fáceis de configurar e manter e podem ser facilmente implantados em plataformas de nuvem. Muitos dispositivos virtuais podem ser usados ​​conforme fornecidos.

A Orca Security usou sua tecnologia SideScanning para verificar dispositivos virtuais em busca de vulnerabilidades e sistemas operacionais desatualizados. A empresa verificou um total de mais de 2.200 dispositivos virtuais de 540 fornecedores em abril e maio e identificou mais de 400.000 vulnerabilidades.

Os dispositivos virtuais foram obtidos de mercados associados a plataformas em nuvem, como AWS, VMware, Google Cloud Platform e Microsoft Azure, mas Orca diz que esses dispositivos virtuais são, em muitos casos, iguais aos fornecidos diretamente pelos fornecedores.

A análise do Orca, que envolveu dar a cada dispositivo uma pontuação de risco de segurança variando entre 0 e 100, descobriu que os dispositivos de 8% dos fornecedores não tinham problemas. Esses fornecedores, que obtiveram uma nota A +, incluem Trend Micro, Pulse Secure, BeyondTrust e Versasec.

Quase um quarto dos fornecedores testados tinham dispositivos virtuais que obtiveram uma nota A e 12% obtiveram um B. No entanto, 15% dos dispositivos testados obtiveram um F, incluindo alguns da CA Technologies, Software AG, Intel, Zoho, Symantec, A10 Redes, Cloudflare e Micro Focus.

No entanto, Orca observou que alguns fornecedores tiveram alguns de seus aparelhos classificados como A ou A + e outros produtos classificados como F. ​​Isso inclui Intel, Symantec, Soho, Cognosys e Tibco.

Orca contatou cada um dos fornecedores afetados antes de tornar suas descobertas públicas. A empresa diz que os fornecedores abordaram cerca de 36.000 das 400.000 vulnerabilidades identificadas, seja implantando patches ou removendo o dispositivo virtual. Especificamente, 287 produtos foram atualizados e 53 foram removidos.

A lista de empresas que agiram inclui Dell EMC, Cisco, IBM, Symantec, Splunk, Oracle, Kaspersky, Cloudflare, Zoho e Qualys.

Por outro lado, alguns fornecedores disseram que cabia aos clientes garantir que seus dispositivos virtuais fossem corrigidos, enquanto outros se recusavam a tomar qualquer medida, argumentando que as vulnerabilidades identificadas não eram exploráveis. Sem surpresa, alguns fornecedores ameaçaram entrar com uma ação legal contra o Orca.

Uma observação interessante feita pela empresa de segurança cibernética é que produtos mais caros não obtiveram uma pontuação mais alta em comparação com produtos mais baratos e até gratuitos.

“Simplesmente porque um fornecedor obtém as melhores notas, não significa que todos os seus dispositivos virtuais estão garantidamente livres de riscos. Os dados apresentados servem apenas como um guia, fornecendo uma ideia de como os fornecedores abordam o suporte e a manutenção de seus dispositivos virtuais. Alguns pontuaram bem e merecem certa confiança. Outros se saíram mal e seus produtos devem ser abordados com cautela ”, disse a Orca em seu relatório.

A empresa também compartilhou algumas recomendações para as organizações reduzirem o risco representado pelo uso de dispositivos virtuais. Isso inclui gerenciamento de ativos para manter o controle de dispositivos virtuais, ferramentas de gerenciamento de vulnerabilidades que podem descobrir pontos fracos e um processo de gerenciamento de vulnerabilidades que prioriza os problemas mais sérios.

O Relatório do Estado de Segurança de Dispositivos Virtuais 2020 da Orca está disponível no site da empresa.

Fonte: https://www.securityweek.com/study-finds-400000-vulnerabilities-across-2200-virtual-appliances