ClickCease Sin parches no hay seguridad

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Sin parches no hay seguridad

Joao Correia

10 de noviembre de 2023 - Evangelista técnico

En el ámbito de la ciberseguridad, a menudo asumimos que la comprobación y aplicación periódica de actualizaciones mantiene nuestros sistemas seguros. Sin embargo, a menudo se pasa por alto un sutil matiz. Cuando decimos que hemos aplicado "todos los parches disponibles", lo que realmente estamos diciendo es que hemos aplicado todos los parches "proporcionados por nuestro proveedor de distribución". Y ahí radica el posible escollo; la cobertura completa no siempre está garantizada.

 

Descifrando el juego de los marcadores de la CVE

 

 

La puntuación CVE puede ser desconcertante. A menudo, los expertos difieren en la forma de puntuar una vulnerabilidad determinada, lo que da lugar a un enfoque subjetivo del análisis de vulnerabilidades y riesgos. Esta subjetividad puede hacer que las vulnerabilidades sean sobreestimadas o subestimadas en términos de su amenaza potencial.

 

Con la próxima versión 4.0 del sistema de puntuación CVE, se intenta reducir esta subjetividad. Aun así, el problema persiste: los proveedores de software a veces ajustan o ignoran las puntuaciones CVE oficiales, lo que les lleva a decidir no publicar parches para vulnerabilidades concretas. Esta incoherencia puede dejar vulnerables a los usuarios. Además, la puntuación que obtenga un CVE determinará la aplicabilidad de diferentes requisitos de cumplimiento en torno a su parcheado.

 

Cumplimiento ≠ Seguridad

 

 

Limitarse a parchear el software para cumplir las normas no equivale a un entorno realmente seguro. La naturaleza burocrática del cumplimiento de las normas suele ir por detrás de la rápida evolución del panorama de amenazas, lo que pone en peligro los sistemas.

 

No tener parches para una determinada vulnerabilidad sólo agrava la ilusión de seguridad que se obtiene cuando se parchea para cumplir los requisitos de conformidad. Tu informe de cumplimiento de seguridad puede ser impecable -has parcheado todo para lo que tenías parches- pero tu sistema sigue teniendo numerosos fallos de seguridad.

 

Pero obtengo mis parches de un proveedor reputado

 

 

Otro error común es creer que obtener parches de proveedores de confianza garantiza la seguridad. Sin embargo, nuestra investigación reveló numerosos casos (cientos) en los que Red Hat no publicó parches para vulnerabilidades críticas en sus sistemas operativos RHEL 7 o CentOS 7, a pesar de estar aún bajo soporte oficial. Los ejemplos incluyen:

 

CVE-2023-2953 (7.1 CVSS v3.1, Puntuación Red Hat 7.1): Una vulnerabilidad en OpenLDAP, una plataforma de gestión centralizada de identidades ampliamente utilizada. Posición de Red Hat: no reparará.

 

CVE-2023-27534 (8.8 CVSS v3.1, Puntuación Red Hat 3.7): Un fallo en el manejo de curl de path traversal al acceder a recursos SFTP. Posición de Red Hat: no corregirá.

 

CVE-2022-1292 (9.8 CVSS v3.1, Puntuación Red Hat 6.7): Un problema de script en OpenSSL que también afecta a paquetes como MySQL. Solución de Red Hat: correcciones disponibles sólo para las versiones 8 y 9. Tenga en cuenta que existe un código de prueba de concepto fácilmente accesible con un mínimo esfuerzo en Internet para esta vulnerabilidad en particular.

 

Y muchos otros CVE siguen esta línea.

 

Cabe destacar que Red Hat a veces evalúa las vulnerabilidades con una puntuación inferior a las puntuaciones CVE originales del NIST. Una puntuación más baja significa que un determinado fallo ya no encaja en un determinado nivel de riesgo (es decir, crítico, alto, medio, etc.). Esto no hace que las vulnerabilidades sean menos peligrosas. Sólo las convierte en sin parches.

 

Los cambios en la puntuación de Red Hat suelen reflejar su análisis de riesgos, que se basa en varios factores que no siempre se alinean con los escenarios de uso del mundo real. Dependiendo de cómo utilices tu sistema, o qué cambios de configuración le apliques, la amenaza de una vulnerabilidad dada puede verse afectada, cambiando su perfil del que le asignó el proveedor original. Siempre y cuando siempre "colorees dentro de las líneas", eso es correcto en su mayor parte. Pero si se hace algo específico para el entorno que no se tuvo en cuenta en la evaluación inicial de la puntuación, el análisis de riesgos que redujo la puntuación ya no refleja el riesgo real asociado a no parchear esa vulnerabilidad.

La singular vulnerabilidad que augura un desastre

 

Considere esta analogía: si tuviera un cuenco con 100 bombones y supiera que uno de ellos podría ponerle muy enfermo, ¿aún así cogería uno? Una sola vulnerabilidad sin parchear puede poner en peligro todas las medidas de seguridad aplicadas. Operar con numerosas vulnerabilidades sin parchear en toda una flota de servidores es una estrategia de alto riesgo y una receta perfecta para el desastre.

 

Asistencia ampliada del ciclo de vida TuxCare: Una solución

 

TuxCare ofrece parches backported de proyectos upstream, garantizando correcciones más completas y oportunas que los proveedores oficiales. Cuando los CVE calificados como altos o críticos por el NIST no están parcheados, el equipo de TuxCare crea esos parches y los proporciona a nuestros repositorios de suscriptores de ELS. Los usuarios de sistemas como CentOS 7 podrían sorprenderse por el número de actualizaciones disponibles al suscribirse al ELS de TuxCare. Por ejemplo, los suscriptores de nuestro servicio ELS para CentOS 6 disponen de más de 300 parches que nunca fueron proporcionados por el proveedor original. Para CentOS 7, podemos proporcionar esos parches antes de de la fecha EOL.

 

Resumen
Sin parches no hay seguridad
Nombre del artículo
Sin parches no hay seguridad
Descripción
A menudo asumimos que aplicar actualizaciones con regularidad mantiene nuestros sistemas seguros. Pero lo que realmente estamos diciendo es que hemos aplicado todos los parches?
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

Acceso anticipado a ELS para CentOS 7: Reciba inmediatamente los parches que faltan + soporte a largo plazo

Más información

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín