Zero Day Initiative: 1.000 relatórios de vulnerabilidade publicados

21. agosto 2023
| Sem comentários
Zero Day Initiative: 1.000 relatórios de vulnerabilidade publicados

Compartilhar postagem

A Zero Day Initiative publicou mais de 1 relatórios de vulnerabilidade no primeiro semestre de 2023. Entre as vulnerabilidades estão os dias zero críticos da Microsoft. Iniciador da Iniciativa Zero Day A Trend Micro adverte sobre cada vez mais patches defeituosos ou incompletos.

A Trend Micro, um dos principais fornecedores mundiais de soluções de segurança cibernética, anuncia que sua Zero Day Initiative (ZDI) já publicou mais de 1.000 avisos sobre vulnerabilidades individuais em produtos de TI este ano. Nesse contexto, a empresa adverte que patches defeituosos ou incompletos estão sendo publicados com mais frequência ou que os fabricantes afetados os estão lançando secretamente.

Patching silencioso esconde vulnerabilidades

A Trend Micro defende o fim da "correção silenciosa" - uma prática que atrasa ou minimiza a divulgação e documentação de vulnerabilidades e correções. Como um dos maiores obstáculos no combate ao crime cibernético, esse método é particularmente comum entre grandes fornecedores e provedores de nuvem.

“A Zero Day Initiative foi fundada para fechar vulnerabilidades antes que sejam exploradas por cibercriminosos. A necessidade de tais medidas é ainda mais enfatizada na União Européia pela nova diretiva NIS2”, explica Richard Werner, consultor de negócios da Trend Micro. “No entanto, estamos vendo uma tendência preocupante de falta de transparência na divulgação de vulnerabilidades associadas a patches de fornecedores. Isso representa uma ameaça à segurança de TI do mundo digital, pois priva os clientes da oportunidade de tomar suas próprias medidas”.

Muitos provedores de nuvem dependem de patches silenciosos

Na conferência de segurança Black Hat USA 2023, representantes da Trend Research mostraram que patches silenciosos são particularmente comuns entre provedores de nuvem. Cada vez mais, eles se abstêm de atribuir um ID de vulnerabilidades e exposições comuns (CVE), que permite a documentação rastreável e, em vez disso, emitem patches em processos não públicos. A falta de transparência ou números de versão para serviços em nuvem dificulta a avaliação de riscos e priva a comunidade de segurança de informações valiosas para melhorar a segurança em todo o ecossistema.

Já no ano passado, a Trend Micro alertou sobre um número crescente de patches incompletos ou incorretos e uma relutância crescente por parte dos fornecedores em fornecer informações confiáveis ​​sobre patches em linguagem simples. Nesse ínterim, essa tendência se intensificou, com algumas empresas negligenciando completamente os patches. Como resultado, seus clientes e setores inteiros estão expostos a riscos evitáveis ​​e crescentes. Portanto, há uma necessidade urgente de ação para priorizar patches, corrigir vulnerabilidades e incentivar a colaboração entre pesquisadores, fornecedores de segurança cibernética e provedores de serviços em nuvem para fortalecer os serviços baseados em nuvem e proteger os usuários contra riscos potenciais.

Mais de 1.000 vulnerabilidades na lista de 2023

Com o programa ZDI, a Trend Micro está comprometida com a correção transparente de vulnerabilidades e uma melhoria na segurança em todo o setor. Como parte desse compromisso, a Zero Day Initiative publicou recentemente notificações de várias vulnerabilidades de dia zero. Um A lista completa de alertas de vulnerabilidade publicados pela Trend Micro Zero Day Initiative (ZDI) está disponível em inglês no site da iniciativa. Aqui está um trecho das vulnerabilidades com um valor CVSS de 9.9 ou 9.8. A lista no site da Zero Day Initiative lista mais de 1.000 outras vulnerabilidades com um valor CVSS de 9.1 a 2.5.

Trecho de 39 vulnerabilidades com CVSS 9.9 e 9.8

ID ZDI FORNECEDOR(ES) AFETADO(S) CVE CVSS v3.0
ZDI-23-1044 Microsoft 9.9
ZDI-23-055 VMware CVE-2022-31702 9.8
ZDI-23-093 Cactos CVE-2022-46169 9.8
ZDI-23-094 Netalk CVE-2022-43634 9.8
ZDI-23-115 VMware CVE-2022-31706 9.8
ZDI-23-118 Oracle CVE-2023-21838 9.8
ZDI-23-168 SolarWinds CVE-2022-47506 9.8
ZDI-23-175 Oracle CVE-2023-21890 9.8
ZDI-23-228 Ivanta CVE-2022-44574 9.8
ZDI-23-233 PaperCut CVE-2023-27350 9.8
ZDI-23-444 Schneider Electric CVE-2023-29411 9.8
ZDI-23-445 Schneider Electric CVE-2023-29412 9.8
ZDI-23-452 TP-Link CVE-2023-27359 9.8
ZDI-23-482 VMware CVE-2023-20864 9.8
ZDI-23-490 ChaveSight CVE-2023-1967 9.8
ZDI-23-587 Trend Micro CVE-2023-32523 9.8
ZDI-23-588 Trend Micro CVE-2023-32524 9.8
ZDI-23-636 Schneider Electric CVE-2022-42970 9.8
ZDI-23-637 Schneider Electric CVE-2022-42971 9.8
ZDI-23-672 Delta Electronics CVE-2023-1133 9.8
ZDI-23-674 Delta Electronics CVE-2023-1140 9.8
ZDI-23-679 Delta Electronics CVE-2023-1136 9.8
ZDI-23-680 Delta Electronics CVE-2023-1139 9.8
ZDI-23-681 Delta Electronics CVE-2023-1145 9.8
ZDI-23-683 Delta Electronics CVE-2023-1133 9.8
ZDI-23-687 Canônico 9.8
ZDI-23-690 Canônico 9.8
ZDI-23-702 Linux CVE-2023-32254 9.8
ZDI-23-714 D-Link CVE-2023-32169 9.8
ZDI-23-716 D-Link CVE-2023-32165 9.8
ZDI-23-720 Moxa CVE-2023-33236 9.8
ZDI-23-840 VMware CVE-2023-20887 9.8
ZDI-23-882 Microsoft CVE-2023-29357 9.8
ZDI-23-897 Software Progress CVE-2023-36934 9.8
ZDI-23-906 Delta Electronics CVE-2023-34347 9.8
ZDI-23-920 NETGEAR CVE-2023-38096 9.8
ZDI-23-1025 Triângulo MicroWorks CVE-2023-39457 9.8
ZDI-23-1046 Automação Indutiva CVE-2023-39476 9.8
ZDI-23-1047 Automação Indutiva CVE-2023-39475 9.8
Mais em ZeroDayInitiative.com

 

Sobre a Trend Micro

Como um dos principais fornecedores mundiais de segurança de TI, a Trend Micro ajuda a criar um mundo seguro para a troca de dados digitais. Com mais de 30 anos de experiência em segurança, pesquisa de ameaças globais e inovação constante, a Trend Micro oferece proteção para empresas, agências governamentais e consumidores. Graças à nossa estratégia de segurança XGen™, nossas soluções se beneficiam de uma combinação entre gerações de técnicas de defesa otimizadas para ambientes de ponta. As informações sobre ameaças em rede permitem uma proteção melhor e mais rápida. Otimizadas para cargas de trabalho em nuvem, endpoints, e-mail, IIoT e redes, nossas soluções conectadas fornecem visibilidade centralizada em toda a empresa para detecção e resposta mais rápidas a ameaças.

 

Artigos relacionados ao tema

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Segurança de TI: base para LockBit 4.0 desativada

A Trend Micro, trabalhando com a Agência Nacional do Crime (NCA) do Reino Unido, analisou a versão não publicada que estava em desenvolvimento ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

Segurança digital: os consumidores são os que mais confiam nos bancos

Uma pesquisa de confiança digital mostrou que os bancos, a saúde e o governo são os que mais confiam nos consumidores. A mídia- ➡ Leia mais

Vulnerabilidades em dispositivos médicos

Um em cada quatro dispositivos médicos (23%) tem uma vulnerabilidade do catálogo de vulnerabilidades conhecidas exploradas (KEV) da agência de segurança cibernética dos EUA CISA. Além disso, existem ➡ Leia mais

Bolsa de empregos Darknet: Hackers estão procurando por insiders renegados

A Darknet não é apenas uma troca de bens ilegais, mas também um lugar onde os hackers procuram novos cúmplices ➡ Leia mais

Segurança e backup de dados, Stories, TrendMicro
, , , , ,