Oracle encabeza la lista de fabricantes con más vulnerabilidades

  • Vulnerabilidades

De acuerdo con Risk Based Security, más de la mitad de las nuevas vulnerabilidades descubiertas en 2017 afectaron a 12 proveedores. Aunque HPE y Adobe tenían la menor cantidad de vulnerabilidades, tenían una concentración mucho mayor de fallos de alta gravedad.

También puedes leer...

Todo sobre Spectre y Meltdown

SecOps a examen

Los mitos de las Brechas de Seguridad

La creación de un SOC

Cómo utilizar la Dark Web

Risk Based Security ha publicado el informe ‘2017 Vulnerability QuickView’, según el cual, en 2017 se detectaron 20.832 nuevas vulnerabilidades, un 31% más con respecto a 2016. Entre este conjunto total de fallos de seguridad, el 39% tenía una puntuación CVSSv2 superior a 7,0, y el 49% podría explotarse de forma remota. Entre la lista total de fallos, solo una cuarta parte de ellos no tiene una solución conocida.

Según un el informe, aproximadamente el 54% de todas las vulnerabilidades nuevas provino de solo 12 proveedores. Este es el top 12 en base al volumen de vulnerabilidades detectadas:
 
1.Oracle

2.SUSE

3.Google

4.Red Hat

5.Canonical

6.IBM

7.Microsoft

8.Samsung

9.Apple

10.Cisco

11.Adobe

12.HPE

Entre esta colección de proveedores, la gravedad típica de las vulnerabilidades era media, con una calificación media CVSSv2 de 6,54. Hubo un par de valores atípicos en lo que respecta al nivel de gravedad por parte de Adobe y HPE. Si bien estas empresas tenían la menor cantidad de vulnerabilidades detectadas, tenían una concentración mucho mayor de fallos de alta gravedad. La calificación media CVSS2 de Adobe fue de 8,01 y la de HPE fue de 7,13. En cuanto a los proveedores con el mayor volumen de vulnerabilidades muy severas, con puntuaciones de 9,0 a 10, los principales fueron Google, SUSE, Canonical, Red Hat y SGP (una subsidiaria de Silent Circle).

En general, el hecho de que solo unos pocos proveedores dominen la base de datos de vulnerabilidades detectadas en 2017 es una buena señal para la industria. Es probable que sea una indicación de que estos fabricantes son cada vez mejores al encontrar vulnerabilidades en su software y responder a descubrimientos realizados por investigadores de seguridad independientes. Según este informe, la divulgación coordinada de vulnerabilidades ha estado creciendo desde 2013. Desde entonces, el número de vulnerabilidades coordinadas ha aumentado en 16,7 puntos porcentuales en función de las vulnerabilidades añadidas, según Risk Based Security.

El año pasado, cerca del 45% de las vulnerabilidades se conocieron como resultado de la divulgación coordinada y otro 19% de la divulgación descoordinada, cifras que muestran la importancia del alcance del proveedor para la comunidad de seguridad al abordar los tipos de fallos que afectan a sus clientes.