[26/05/2023] Los profesionales de la ciberseguridad que necesiten rastrear los últimos exploits de vulnerabilidades disponen ahora de una nueva herramienta diseñada para facilitarles el trabajo, con el lanzamiento de VulnCheck XDB, una base de datos de exploits y pruebas de concepto alojada en repositorios Git.
La herramienta, del proveedor de inteligencia sobre ciberamenazas VulnCheck, tiene por objeto ayudar a los investigadores de vulnerabilidades y a los equipos de seguridad a priorizar las vulnerabilidades en función de la disponibilidad y criticidad de los nuevos exploits que se han hecho públicos.
"Hay un vacío importante en las bases de datos de exploits disponibles hoy en día para los equipos de seguridad modernos", señaló Anthony Bettini, CEO y fundador de VulnCheck. "Por eso estamos encantados de lanzar XDB. Esta herramienta complementaria será fundamental para ayudar a los investigadores, equipos ofensivos e ingenieros de detección a resolver el reto de priorización de vulnerabilidades y reforzar la seguridad".
VulnCheck XDB es un servicio abierto, sin licencia, y está disponible para los usuarios desde su lanzamiento. Obtiene información de proveedores de Git como GitHub, GitLab y Gitee.
Las bases de datos de exploits heredadas son lentas y carecen de detalles
Una de las principales deficiencias de las bases de datos heredadas es el modelo de "archivo único" con el que están diseñadas, según Bettini. Hoy en día, los exploits suelen ser proyectos con diversas funcionalidades, que abarcan varios archivos, como archivos de configuración y archivos de interfaz de línea de comandos.
"Estos proyectos con varios archivos suelen aparecer en repositorios git (como GitHub), y las bases de datos heredadas no admiten varios archivos", explicó Bettini. "Normalmente, cuando se trata de archivos múltiples, otras bases de datos de exploits no los incluyen o pliegan todos los archivos en un único archivo ZIP, haciéndolos ilegibles en los sitios web".
Otro inconveniente de las bases de datos heredadas es que son bases de datos de exploits curadas por la gente y son extremadamente lentas para confiar en ellas, anotó Bettini. VulnCheck, en cambio, ofrece un sistema de software autónomo para rastrear en tiempo real el código de exploits y pruebas de concepto.
"Uno de los problemas de las bases de datos de vulnerabilidades actuales es que sólo nos proporcionan información básica sobre la gravedad de la vulnerabilidad (puntuaciones CVS) y detalles de la versión afectada", explicó Edouard Viot, vicepresidente de producto de GitGuardian, proveedor de software de seguridad de código. "Un exploit en funcionamiento puede informar a una empresa sobre el riesgo de su propia infraestructura, o poner a prueba la eficacia de un control de seguridad existente".
VulnCheck XDB incorpora indexación CVE
XDB se alojará como herramienta complementaria de rastreo automático en el sitio web de VulnCheck y contará con la opción de búsqueda por ID de vulnerabilidades y exploits comunes (CVE) para descubrir vulnerabilidades con exploits escritos.
El hecho de que esté bien vinculada a CVE-ID será más interesante para las organizaciones que tienen alertas CVE y quieren evaluar su riesgo real, según Viot.
"Los creadores de aplicaciones sólo escriben el 10% de su código, el 90% de sus superficies de ataque son los frameworks que utilizan. Estos marcos utilizan sublibrerías con, por término medio, tres vulnerabilidades al año. Por lo tanto, un creador de aplicaciones tiene mucho CVE que gestionar en su propia aplicación debido a las dependencias. Tener acceso al código de explotación podría ayudar a hacer lo que llamamos un 'análisis de impacto'", anotó Viot.
Existen otros programas de actualización automática diseñados para permitir a los profesionales de la seguridad comprobar la existencia de nuevos exploits, como el de la empresa de ciberseguridad Exploit DB, pero VulnCheck también afirma cubrir exploits escritos en otros países o alojados en sitios extranjeros, como Gitee. "En este momento, no conocemos ninguna otra base de datos de exploits que intente rastrear exploits escritos en países extranjeros como China", afirmó Bettini.
Basado en el artículo de Cheta Sharma (CSO) y editado por CIO Perú