Los profesionales de la ciberseguridad que necesitan rastrear las vulnerabilidades más recientes ahora tienen una nueva herramienta diseñada para facilitar su trabajo con el lanzamiento de hoy de VulnCheck XDB, una base de datos de vulnerabilidades y pruebas de concepto alojadas en repositorios de Git.
La herramienta del proveedor de inteligencia de amenazas cibernéticas VulnCheck está diseñada para ayudar a los investigadores de vulnerabilidades y a los equipos de seguridad a priorizar las vulnerabilidades en función de la disponibilidad y la criticidad de las nuevas vulnerabilidades que se han lanzado.
«Existe una brecha significativa en las bases de datos de exploits disponibles para los equipos de seguridad modernos en la actualidad», dijo Anthony Bettini, director ejecutivo y fundador de VulnCheck. “Es por eso que estamos emocionados de traer XDB al mercado. Esta herramienta complementaria ayudará a los investigadores, equipos de ataque e ingenieros de detección a resolver el desafío de priorizar vulnerabilidades y fortalecer la seguridad”.
VulnCheck XDB es un servicio abierto, libre de regalías y está disponible para los usuarios en el momento del lanzamiento. Extrae información de proveedores de Git como GitHub, GitLab y Gitee.
Las bases de datos de exploits más antiguas son lentas y carecen de detalles.
Según Bettini, una de las principales deficiencias de las bases de datos más antiguas es el modelo de «archivo único» en el que se basan. Hoy en día, los exploits suelen ser proyectos con diferentes funcionalidades, que abarcan varios archivos, como archivos de configuración y archivos de interfaz de línea de comandos.
«Estos proyectos de varios archivos a menudo aparecen en los repositorios de Git (como GitHub) y las bases de datos más antiguas no admiten varios archivos», dijo Bettini. «Cuando hay varios archivos involucrados, otras bases de datos de explotación generalmente no los incluyen o combinan todos los archivos en un solo archivo ZIP, lo que los hace ilegibles en los sitios web».
Otra desventaja de las bases de datos heredadas es que son bases de datos de explotación curadas por humanos y extremadamente lentas para confiar, dijo Bettini. VulnCheck, por otro lado, proporciona un sistema de software autónomo para el seguimiento en tiempo real del código de explotación y prueba de concepto.
«Un problema con las bases de datos de vulnerabilidades hoy en día es que solo obtenemos información básica sobre la gravedad de la vulnerabilidad (puntajes CVS) y detalles sobre la versión afectada», dijo Edouard Viot, vicepresidente de producto de GitGuardian, un proveedor de software de seguridad de código. «Un exploit funcional puede informar a una empresa sobre el riesgo de su propia infraestructura o probar la efectividad de un control de seguridad existente».
VulnCheck XDB ofrece indexación CVE
XDB está alojado en el sitio web de VulnCheck como una herramienta de seguimiento automático complementaria y brinda la capacidad de buscar ID de CVE (vulnerabilidades y explotaciones comunes) para descubrir vulnerabilidades con explotaciones escritas.
El hecho de que se vincule bien con CVE-ID será más interesante para las organizaciones que tienen alertas de CVE y desean evaluar su riesgo real, según Viot.
“Los desarrolladores de aplicaciones solo escriben el 10 % de su código, el 90 % de su superficie de ataque es el marco que usan.” Estos marcos usan sub-bibliotecas con un promedio de tres vulnerabilidades por año. Entonces, debido a las dependencias, un desarrollador de aplicaciones tiene que administrar una gran cantidad de CVE para su propia aplicación. El acceso al código de explotación podría ayudar a realizar lo que llamamos un «análisis de impacto», dijo Viot.
Hay otros programas actualizados automáticamente diseñados para permitir que los profesionales de la seguridad busquen nuevos exploits, incluida la empresa de seguridad cibernética Exploit DB, pero VulnCheck también afirma cubrir exploits escritos en otros países o alojados en sitios web extranjeros como Gitee. «Actualmente, no conocemos ninguna otra base de datos de exploits que intente rastrear exploits escritos en otros países como China», dijo Bettini.
Derechos de autor © 2023 IDG Communications, Inc.