Parcheo de vulnerabilidades, una acción urgente para gobiernos y empresas

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) ha publicado una directiva vinculante para que la implementación del parcheo de vulnerabilidades se realice en tiempos concretos y más agresivos. La directiva está dirigida a las agencias federales, aunque también se recomienda para empresas privadas y entidades estatales.

Las vulnerabilidades de seguridad son inherentes al mismo desarrollo de software. Y el «parcheo» subsiguiente de las mismas una labor imprescindible. Lo que no deja de sorprender es que muchos de los ataques informáticos se realicen sobre vulnerabilidades conocidas que ya habían sido parcheadas por los correspondientes proveedores.

CISA se ha puesto seria y ha publicado una directiva que incluye un catálogo de vulnerabilidades de Apple, Cisco, Microsoft, Google y otros, que tienen exploits conocidos y están siendo explotadas activamente por los ciberdelincuentes. La agencia también pide un cambio de enfoque, para que prioricen las actualizaciones de las explotadas aunque tengan menor peligrosidad que otras y dentro de plazos «agresivos».

«Este grupo de vulnerabilidades plantean un riesgo significativo para las agencias y el gobierno federal», dicen en la directiva operacional (DBO) publicada la semana pasada. «Es esencial remediar agresivamente las vulnerabilidades conocidas explotadas para proteger los sistemas de información federales y reducir los incidentes cibernéticos», explican. 

Aproximadamente, 176 vulnerabilidades identificadas entre 2017 y 2020, y 100 fallas de 2021 han llegado a la lista inicial, que se espera que se actualice con vulnerabilidades adicionales explotadas activamente a medida que se conozcan, siempre que se les hayan asignado Vulnerabilidades y Exposiciones Comunes ( CVE) y tengan una acción de remediación clara.

La directiva es vinculante y exige que las vulnerabilidades de seguridad descubiertas en 2021, las rastreadas como CVE-2021-XXXXX, se aborden antes del 17 de noviembre de 2021, al tiempo que establece una fecha límite de revisión del 3 de mayo de 2022 para las vulnerabilidades más antiguas restantes.

La nueva estrategia también prevé que la agencia se aleje de la remediación de vulnerabilidades basadas en la calificación de gravedad hacia aquellas que plantean un riesgo significativo y están siendo explotadas en el mundo real. De hecho, no siempre son las vulnerabilidades «críticas» las más utilizadas para los exploits y algunos de los ataques más extendidos y devastadores han usado vulnerabilidades medias e incluso bajas.

Aunque esta directiva está dirigida principalmente a agencias civiles federales, CISA recomienda a empresas privadas y otras entidades estatales que revisen el catálogo y solucionen las vulnerabilidades para fortalecer su estrategia de seguridad.

La entrada Parcheo de vulnerabilidades, una acción urgente para gobiernos y empresas es original de MuySeguridad. Seguridad informática.