Las 20 vulnerabilidades más críticas en Internet
SANS Institute actualiza su lista Top 20 de las vulnerabilidades más críticas explotadas en Internet.
Hace tres años, SANS Institute, el FBI (policía federal de los Estados Unidos) y el NIPC (Centro de Protección de la Infraestructura Nacional de los Estados Unidos), confeccionaron la primera versión de esta lista con las 10 vulnerabilidades de seguridad más críticas. Como en las últimas entregas, en esta cuarta revisión podemos encontrar dos listas, con 10 entradas cada una, separando las vulnerabilidades por plataforma según afectan a Windows o Unix.
Aunque estas vulnerabilidades son aprovechadas en un alto porcentaje de los ataques que actualmente se suceden en Internet, especialmente por gusanos, herramientas automáticas, y script kiddies, la realidad es que estos sistemas operativos se encuentran afectados por muchos más problemas de seguridad. De forma que, si bien es muy recomendable repasar esta lista para asegurar que nuestros sistemas no se encuentran afectados, no debemos bajar la guardia respecto al resto de vulnerabilidades y las de nueva aparición, que pueden ser igualmente críticas.
Entre los problemas de seguridad más comunes, en especial en entornos corporativos, se encuentran las dificultades para hacer el seguimiento de todas las actualizaciones, nuevas vulnerabilidades, y amenazas que pueden afectar a un parque heterogéneo de sistemas. Servicios como “una-al-día” pueden ayudar en parte a esta tarea, aunque la realidad es que la media de amenazas que aparecen cada jornada supera con creces la vulnerabilidad por día.
Un indicador más claro y real del número de amenazas que surgen puede observarse en las estadísticas de SANA, el Servicio de Análisis, Notificación y Alertas de Hispasec, dirigido a profesionales y corporaciones. Ahora, desde la portada de la web de Hispasec (http://www.hispasec.com), en la columna derecha, es posible acceder a una gráfica y obtener datos cuantitativos en tiempo real sobre el número de avisos (vulnerabilidades, actualizaciones, etc.) que emite el servicio.
Volviendo al TOP 20 de SANS, las listas de vulnerabilidades quedan de esta forma:
Windows
W1 Internet Information Services (IIS)
W2 Microsoft SQL Server (MSSQL)
W3 Windows Authentication
W4 Internet Explorer (IE)
W5 Windows Remote Access Services
W6 Microsoft Data Access Components (MDAC)
W7 Windows Scripting Host (WSH)
W8 Microsoft Outlook Outlook Express
W9 Windows Peer to Peer File Sharing (P2P)
W10 Simple Network Management Protocol (SNMP)
Unix
U1 BIND Domain Name System
U2 Remote Procedure Calls (RPC)
U3 Apache Web Server
U4 General UNIX Authentication Accounts with No Passwords or Weak Passwords
U5 Clear Text Services
U6 Sendmail
U7 Simple Network Management Protocol (SNMP)
U8 Secure Shell (SSH)
U9 Misconfiguration of Enterprise Services NIS/NFS
U10 Open Secure Sockets Layer (SSL)
En la página http://isc.sans.org/top20.html pueden encontrarse la descripción de cada una de las entradas, sistemas afectados, métodos para determinar si un sistema es vulnerable, y las medidas de corrección y prevención que se deben adoptar.