Estudo revela as falhas críticas e mais frequentes de 2023

O ano de 2023 foi marcado por uma cenário de ameaças cibernéticas extremamente complexo, volátil e sofisticado. Foram milhares de tentativas de ataques e novas vulnerabilidades surgindo diariamente. Entretanto, um estudo realizado pela empresa de cibersegurança Vantico, mostra que é possível aproveitar os dados que surgiram a partir dessas ameaças e ataques e utilizá-los como base para fazer previsões e criar estratégias de segurança mais robustas.

Por meio de uma análise dos testes executados no ano passado, bem como das principais vulnerabilidades encontradas e das falhas críticas mais frequentes, o estudo, publicado em fevereiro, reuniu informações relevantes sobre o cenário do pentest e da cibersegurança em 2023.

Entre as vulnerabilidades analisadas no estudo, as críticas e altas representaram 24% do total no ano passado, sendo as cinco principais:

  • Lack of access control
  • Misconfiguration
  • Cross-site scripting (XSS)
  • Data exposure
  • Broken access control


A primeira, lack of access control  (falta de controle de acesso), representou consideráveis 16% do total. Suas principais causas foram o IDOR (insecure direct object references, ou referência direta de objeto inseguro), broken access control (quebra de controle de acessos) e disclosure of secrets (revelação de segredos).

Um exemplo relevante foi o de um bug no Microsoft Teams, causado pelo IDOR, que permitia que hackers implantassem malwares.

A misconfiguration (ou configuração incorreta de segurança), segundo o estudo, já é uma velha conhecida dos profissionais de segurança, por ter sido mencionada outras vezes no top 10 do OWASP (Open Web Application Security Project), o projeto aberto de segurança em aplicações web

Entre suas principais causas foram apontadas: visible detailed error/debug dage (erro detalhado visível/depuração de página) unnecessary open ports, (portas abertas desnecessárias), misconfiguration, lack of security headers (falta de cabeçalhos de segurança) e o uso de credenciais default.

O cross-site scripting (XSS, ou script entre sites) também não é uma vulnerabilidade recente, mas continua causando estrago em aplicações web. De acordo com o estudo, isso se deve à sua “prevalência, impacto e diferentes métodos de execução.” Ela foi causada por duas falhas, na maior parte dos casos: Reflected e Stored.

Data exposure (exposição de dados) a quarta mais comum vulnerabilidade crítica/alta do ano, foi observada devido a diversas causas, tais como disclosure of secrets, unnecessary data Exposure, sensitive token in URL, excessive data exposure e lack of obfuscation.

Por último, mas não menos importante, o estudo identificou a vulnerabilidade broken access control, também já mencionada no OWASP Top 10.

Em 2023, por exemplo, essa vulnerabilidade causou um prejuízo de aproximadamente US$ 100 milhões para a rede de hotéis MGM Resorts International. Os criminosos conseguiram privilégios de super administrador, bloquearam a rede e lançaram um ransomware no sistema. Eles ainda roubaram dados e exigiram resgate para não vazarem tais informações online.

Fonte: Cisoadvisor