A Zero Day Initiative publicou mais de 1 relatórios de vulnerabilidade no primeiro semestre de 2023. Entre as vulnerabilidades estão os dias zero críticos da Microsoft. Iniciador da Iniciativa Zero Day A Trend Micro adverte sobre cada vez mais patches defeituosos ou incompletos.
A Trend Micro, um dos principais fornecedores mundiais de soluções de segurança cibernética, anuncia que sua Zero Day Initiative (ZDI) já publicou mais de 1.000 avisos sobre vulnerabilidades individuais em produtos de TI este ano. Nesse contexto, a empresa adverte que patches defeituosos ou incompletos estão sendo publicados com mais frequência ou que os fabricantes afetados os estão lançando secretamente.
Patching silencioso esconde vulnerabilidades
A Trend Micro defende o fim da "correção silenciosa" - uma prática que atrasa ou minimiza a divulgação e documentação de vulnerabilidades e correções. Como um dos maiores obstáculos no combate ao crime cibernético, esse método é particularmente comum entre grandes fornecedores e provedores de nuvem.
“A Zero Day Initiative foi fundada para fechar vulnerabilidades antes que sejam exploradas por cibercriminosos. A necessidade de tais medidas é ainda mais enfatizada na União Européia pela nova diretiva NIS2”, explica Richard Werner, consultor de negócios da Trend Micro. “No entanto, estamos vendo uma tendência preocupante de falta de transparência na divulgação de vulnerabilidades associadas a patches de fornecedores. Isso representa uma ameaça à segurança de TI do mundo digital, pois priva os clientes da oportunidade de tomar suas próprias medidas”.
Muitos provedores de nuvem dependem de patches silenciosos
Na conferência de segurança Black Hat USA 2023, representantes da Trend Research mostraram que patches silenciosos são particularmente comuns entre provedores de nuvem. Cada vez mais, eles se abstêm de atribuir um ID de vulnerabilidades e exposições comuns (CVE), que permite a documentação rastreável e, em vez disso, emitem patches em processos não públicos. A falta de transparência ou números de versão para serviços em nuvem dificulta a avaliação de riscos e priva a comunidade de segurança de informações valiosas para melhorar a segurança em todo o ecossistema.
Já no ano passado, a Trend Micro alertou sobre um número crescente de patches incompletos ou incorretos e uma relutância crescente por parte dos fornecedores em fornecer informações confiáveis sobre patches em linguagem simples. Nesse ínterim, essa tendência se intensificou, com algumas empresas negligenciando completamente os patches. Como resultado, seus clientes e setores inteiros estão expostos a riscos evitáveis e crescentes. Portanto, há uma necessidade urgente de ação para priorizar patches, corrigir vulnerabilidades e incentivar a colaboração entre pesquisadores, fornecedores de segurança cibernética e provedores de serviços em nuvem para fortalecer os serviços baseados em nuvem e proteger os usuários contra riscos potenciais.
Mais de 1.000 vulnerabilidades na lista de 2023
Com o programa ZDI, a Trend Micro está comprometida com a correção transparente de vulnerabilidades e uma melhoria na segurança em todo o setor. Como parte desse compromisso, a Zero Day Initiative publicou recentemente notificações de várias vulnerabilidades de dia zero. Um A lista completa de alertas de vulnerabilidade publicados pela Trend Micro Zero Day Initiative (ZDI) está disponível em inglês no site da iniciativa. Aqui está um trecho das vulnerabilidades com um valor CVSS de 9.9 ou 9.8. A lista no site da Zero Day Initiative lista mais de 1.000 outras vulnerabilidades com um valor CVSS de 9.1 a 2.5.
Trecho de 39 vulnerabilidades com CVSS 9.9 e 9.8
ID ZDI | FORNECEDOR(ES) AFETADO(S) | CVE | CVSS v3.0 |
ZDI-23-1044 | Microsoft | 9.9 | |
ZDI-23-055 | VMware | CVE-2022-31702 | 9.8 |
ZDI-23-093 | Cactos | CVE-2022-46169 | 9.8 |
ZDI-23-094 | Netalk | CVE-2022-43634 | 9.8 |
ZDI-23-115 | VMware | CVE-2022-31706 | 9.8 |
ZDI-23-118 | Oracle | CVE-2023-21838 | 9.8 |
ZDI-23-168 | SolarWinds | CVE-2022-47506 | 9.8 |
ZDI-23-175 | Oracle | CVE-2023-21890 | 9.8 |
ZDI-23-228 | Ivanta | CVE-2022-44574 | 9.8 |
ZDI-23-233 | PaperCut | CVE-2023-27350 | 9.8 |
ZDI-23-444 | Schneider Electric | CVE-2023-29411 | 9.8 |
ZDI-23-445 | Schneider Electric | CVE-2023-29412 | 9.8 |
ZDI-23-452 | TP-Link | CVE-2023-27359 | 9.8 |
ZDI-23-482 | VMware | CVE-2023-20864 | 9.8 |
ZDI-23-490 | ChaveSight | CVE-2023-1967 | 9.8 |
ZDI-23-587 | Trend Micro | CVE-2023-32523 | 9.8 |
ZDI-23-588 | Trend Micro | CVE-2023-32524 | 9.8 |
ZDI-23-636 | Schneider Electric | CVE-2022-42970 | 9.8 |
ZDI-23-637 | Schneider Electric | CVE-2022-42971 | 9.8 |
ZDI-23-672 | Delta Electronics | CVE-2023-1133 | 9.8 |
ZDI-23-674 | Delta Electronics | CVE-2023-1140 | 9.8 |
ZDI-23-679 | Delta Electronics | CVE-2023-1136 | 9.8 |
ZDI-23-680 | Delta Electronics | CVE-2023-1139 | 9.8 |
ZDI-23-681 | Delta Electronics | CVE-2023-1145 | 9.8 |
ZDI-23-683 | Delta Electronics | CVE-2023-1133 | 9.8 |
ZDI-23-687 | Canônico | 9.8 | |
ZDI-23-690 | Canônico | 9.8 | |
ZDI-23-702 | Linux | CVE-2023-32254 | 9.8 |
ZDI-23-714 | D-Link | CVE-2023-32169 | 9.8 |
ZDI-23-716 | D-Link | CVE-2023-32165 | 9.8 |
ZDI-23-720 | Moxa | CVE-2023-33236 | 9.8 |
ZDI-23-840 | VMware | CVE-2023-20887 | 9.8 |
ZDI-23-882 | Microsoft | CVE-2023-29357 | 9.8 |
ZDI-23-897 | Software Progress | CVE-2023-36934 | 9.8 |
ZDI-23-906 | Delta Electronics | CVE-2023-34347 | 9.8 |
ZDI-23-920 | NETGEAR | CVE-2023-38096 | 9.8 |
ZDI-23-1025 | Triângulo MicroWorks | CVE-2023-39457 | 9.8 |
ZDI-23-1046 | Automação Indutiva | CVE-2023-39476 | 9.8 |
ZDI-23-1047 | Automação Indutiva | CVE-2023-39475 | 9.8 |
Sobre a Trend Micro Como um dos principais fornecedores mundiais de segurança de TI, a Trend Micro ajuda a criar um mundo seguro para a troca de dados digitais. Com mais de 30 anos de experiência em segurança, pesquisa de ameaças globais e inovação constante, a Trend Micro oferece proteção para empresas, agências governamentais e consumidores. Graças à nossa estratégia de segurança XGen™, nossas soluções se beneficiam de uma combinação entre gerações de técnicas de defesa otimizadas para ambientes de ponta. As informações sobre ameaças em rede permitem uma proteção melhor e mais rápida. Otimizadas para cargas de trabalho em nuvem, endpoints, e-mail, IIoT e redes, nossas soluções conectadas fornecem visibilidade centralizada em toda a empresa para detecção e resposta mais rápidas a ameaças.