Zero Day Initiative publicó más de 1 informes de vulnerabilidad en la primera mitad de 2023. Entre las vulnerabilidades se encuentran los días cero críticos de Microsoft. El iniciador de la iniciativa Zero Day, Trend Micro, advierte sobre cada vez más parches defectuosos o incompletos.
Trend Micro, uno de los principales proveedores mundiales de soluciones de ciberseguridad, anuncia que su Zero Day Initiative (ZDI) ya ha publicado más de 1.000 avisos sobre vulnerabilidades individuales en productos de TI este año. En este contexto, la compañía advierte que cada vez se publican más parches defectuosos o incompletos, o que los fabricantes afectados los implementan en secreto.
El parcheo silencioso oculta vulnerabilidades
Trend Micro aboga por el fin de la "parche silenciosa", una práctica que retrasa o minimiza la divulgación y documentación de vulnerabilidades y parches. Como uno de los mayores obstáculos en la lucha contra el ciberdelito, este método es particularmente común entre los grandes proveedores y los proveedores de la nube.
“Zero Day Initiative se fundó para cerrar las vulnerabilidades antes de que los ciberdelincuentes las exploten. La nueva directiva NIS2 enfatiza aún más la necesidad de tales medidas en la Unión Europea”, explica Richard Werner, consultor comercial de Trend Micro. “Sin embargo, estamos viendo una tendencia preocupante de falta de transparencia en la divulgación de vulnerabilidades asociadas con parches de proveedores. Esto representa una amenaza para la seguridad de TI del mundo digital, ya que priva a los clientes de la oportunidad de tomar sus propias medidas adicionales”.
Muchos proveedores de nube confían en parches silenciosos
En la conferencia de seguridad Black Hat USA 2023, los representantes de Trend Research demostraron que los parches silenciosos son particularmente comunes entre los proveedores de la nube. Cada vez más, estos se abstienen de asignar una identificación de vulnerabilidades y exposiciones comunes (CVE), que permite la documentación rastreable, y en su lugar emiten parches en procesos no públicos. La falta de transparencia o números de versión de los servicios en la nube dificulta la evaluación de riesgos y priva a la comunidad de seguridad de información valiosa para mejorar la seguridad en todo el ecosistema.
Ya el año pasado, Trend Micro advirtió sobre un número creciente de parches incompletos o incorrectos y una creciente renuencia por parte de los proveedores a brindar información confiable sobre los parches en un lenguaje sencillo. Mientras tanto, esta tendencia se ha intensificado, y algunas empresas han descuidado por completo la aplicación de parches. Como resultado, sus clientes e industrias enteras están expuestas a riesgos evitables y crecientes. Por lo tanto, existe una necesidad urgente de actuar para priorizar parches, corregir vulnerabilidades y fomentar la colaboración entre investigadores, proveedores de ciberseguridad y proveedores de servicios en la nube para fortalecer los servicios basados en la nube y proteger a los usuarios de posibles riesgos.
Más de 1.000 vulnerabilidades en la lista de 2023
Con el programa ZDI, Trend Micro se compromete a parchear de forma transparente las vulnerabilidades y mejorar la seguridad en todo el sector. Como parte de este compromiso, Zero Day Initiative ha publicado recientemente notificaciones de varias vulnerabilidades de día cero. Uno La lista completa de avisos de vulnerabilidades publicada por Trend Micro Zero Day Initiative (ZDI) está disponible en inglés. en la web de la iniciativa. Aquí hay un extracto de las vulnerabilidades con un valor CVSS de 9.9 o 9.8. La lista en el sitio web de Zero Day Initiative enumera más de 1.000 otras vulnerabilidades con un valor CVSS de 9.1 a 2.5.
Extracto de 39 vulnerabilidades con CVSS 9.9 y 9.8
Identificación ZDI | PROVEEDOR(ES) AFECTADO(S) | CVE | CVSSv3.0 |
ZDI-23-1044 | Microsoft | 9.9 | |
ZDI-23-055 | VMware | CVE-2022-31702 | 9.8 |
ZDI-23-093 | Cactus | CVE-2022-46169 | 9.8 |
ZDI-23-094 | netatalk | CVE-2022-43634 | 9.8 |
ZDI-23-115 | VMware | CVE-2022-31706 | 9.8 |
ZDI-23-118 | Oracle | CVE-2023-21838 | 9.8 |
ZDI-23-168 | Vientos solares | CVE-2022-47506 | 9.8 |
ZDI-23-175 | Oracle | CVE-2023-21890 | 9.8 |
ZDI-23-228 | Ivanta | CVE-2022-44574 | 9.8 |
ZDI-23-233 | PaperCut | CVE-2023-27350 | 9.8 |
ZDI-23-444 | Schneider Electric | CVE-2023-29411 | 9.8 |
ZDI-23-445 | Schneider Electric | CVE-2023-29412 | 9.8 |
ZDI-23-452 | TP-Link | CVE-2023-27359 | 9.8 |
ZDI-23-482 | VMware | CVE-2023-20864 | 9.8 |
ZDI-23-490 | Vista clave | CVE-2023-1967 | 9.8 |
ZDI-23-587 | Trend Micro | CVE-2023-32523 | 9.8 |
ZDI-23-588 | Trend Micro | CVE-2023-32524 | 9.8 |
ZDI-23-636 | Schneider Electric | CVE-2022-42970 | 9.8 |
ZDI-23-637 | Schneider Electric | CVE-2022-42971 | 9.8 |
ZDI-23-672 | Delta Electronics | CVE-2023-1133 | 9.8 |
ZDI-23-674 | Delta Electronics | CVE-2023-1140 | 9.8 |
ZDI-23-679 | Delta Electronics | CVE-2023-1136 | 9.8 |
ZDI-23-680 | Delta Electronics | CVE-2023-1139 | 9.8 |
ZDI-23-681 | Delta Electronics | CVE-2023-1145 | 9.8 |
ZDI-23-683 | Delta Electronics | CVE-2023-1133 | 9.8 |
ZDI-23-687 | Canónico | 9.8 | |
ZDI-23-690 | Canónico | 9.8 | |
ZDI-23-702 | Linux | CVE-2023-32254 | 9.8 |
ZDI-23-714 | D-Link | CVE-2023-32169 | 9.8 |
ZDI-23-716 | D-Link | CVE-2023-32165 | 9.8 |
ZDI-23-720 | Moxa | CVE-2023-33236 | 9.8 |
ZDI-23-840 | VMware | CVE-2023-20887 | 9.8 |
ZDI-23-882 | Microsoft | CVE-2023-29357 | 9.8 |
ZDI-23-897 | Software de progreso | CVE-2023-36934 | 9.8 |
ZDI-23-906 | Delta Electronics | CVE-2023-34347 | 9.8 |
ZDI-23-920 | NETGEAR | CVE-2023-38096 | 9.8 |
ZDI-23-1025 | Triángulo MicroWorks | CVE-2023-39457 | 9.8 |
ZDI-23-1046 | Automatización Inductiva | CVE-2023-39476 | 9.8 |
ZDI-23-1047 | Automatización Inductiva | CVE-2023-39475 | 9.8 |
Acerca de Trend Micro Como uno de los principales proveedores de seguridad de TI del mundo, Trend Micro ayuda a crear un mundo seguro para el intercambio de datos digitales. Con más de 30 años de experiencia en seguridad, investigación de amenazas globales e innovación constante, Trend Micro ofrece protección para empresas, agencias gubernamentales y consumidores. Gracias a nuestra estrategia de seguridad XGen™, nuestras soluciones se benefician de una combinación intergeneracional de técnicas de defensa optimizadas para entornos de vanguardia. La información de amenazas en red permite una protección mejor y más rápida. Optimizadas para cargas de trabajo en la nube, terminales, correo electrónico, IIoT y redes, nuestras soluciones conectadas brindan visibilidad centralizada en toda la empresa para una detección y respuesta más rápidas a las amenazas.