557 CVEs adicionados ao catálogo de vulnerabilidades exploradas conhecidas da CISA em 2022

Existem quase 900 vulnerabilidades no catálogo Known Exploited Vulnerabilities (KEV) mantido pela Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA, incluindo 557 CVEs que foram adicionados em 2022, de acordo com a empresa de inteligência de vulnerabilidades VulnCheck.

Havia 311 vulnerabilidades no catálogo no início de 2022 e chegou a 868 no final do ano. Em média, mais de dez falhas exploradas foram adicionadas à lista de KEV todas as semanas em 2022.

Dos CVEs adicionados à lista no ano passado, 93 tinham um identificador CVE 2022, o que representa aproximadamente duas novas vulnerabilidades exploradas ativamente por semana.

A análise do VulnCheck mostrou que 22 dos bugs adicionados ao KEV no ano passado foram nomeados como vulnerabilidades, incluindo EternalBlue, Shellshock, Heartbleed, EskimoRoll, Dogwalk, SpoolFool, Dirty Pipe, ProxyNotShell e Ripple20.

As vulnerabilidades adicionadas pela CISA ao seu catálogo em 2022 impactaram uma ampla gama de produtos, mas sistemas operacionais e IoT representaram os maiores percentuais.

Mais de um terço das falhas de segurança adicionadas à lista de ‘patch obrigatório’ em 2022 podem ser exploradas para acesso inicial.

O catálogo KEV da CISA não fornece nenhuma informação sobre os tipos de ataques que exploram as vulnerabilidades. No entanto, o relatório da VulnCheck fornece essas informações com base em dados da própria empresa.

A empresa disse que 241 das adições de 2022 foram exploradas por agentes de ameaças (APTs), 122 por grupos de ransomware e 69 por botnets.

O VulnCheck também analisou quanto tempo leva para uma vulnerabilidade ser adicionada ao catálogo KEV da CISA, observando que seria um erro para as organizações tratá-la como um sistema de alerta antecipado.

No caso dos CVEs de 2022 – para as vulnerabilidades mais antigas, essa medição de ‘tempo para KEV’ é inútil – dez das falhas foram adicionadas no mesmo dia ou antes mesmo de uma exploração pública ou detalhes de exploração serem divulgados, e 38 foram adicionadas dentro uma semana.

“O Catálogo KEV não é um sistema de alerta precoce, mas alertar a todos sobre a exploração na natureza dentro de uma semana após a primeira exploração pública ou detalhes da exploração a uma taxa de 52% é muito respeitável. Claro, isso não conta a história completa. Há um monte de vulnerabilidades publicadas em 2022 que sabidamente foram exploradas e não estão na lista CISA KEV”, disse VulnCheck.