El número de nuevas vulnerabilidades notificadas por el gobierno estadounidense en 2022 aumentó una cuarta parte anual hasta alcanzar las 25.096, un nuevo máximo histórico, según los datos recopilados por Skybox Security.

El proveedor de seguridad analizó la Base de Datos Nacional de Vulnerabilidades (NVD) para compilar su Informe de Tendencias de Vulnerabilidades y Amenazas 2023.

Los resultados indican que 2022 fue el sexto año consecutivo en que el volumen de vulnerabilidades recién descubiertas alcanzó un máximo histórico. Según Skybox Security, el último aumento ha sido el mayor desde 2017, ya que el número de CVE publicados en la última década supera los 192.000.

Alrededor del 80% de las CVE notificadas en 2022 fueron de gravedad media o alta, y el 16% se consideraron críticas.

Aunque la proporción de errores críticos descendió desde el 20% del año pasado, Skybox Security argumentó que la gravedad no equivale a riesgo, ya que los actores maliciosos a menudo explotan vulnerabilidades menos graves para la ejecución remota de código (RCE), la escalada de privilegios y más.

El informe señala que, por tanto, deben realizarse evaluaciones de riesgo de forma continua para priorizar la aplicación de parches, basándose no sólo en la gravedad de una vulnerabilidad grave, sino también en su explotabilidad, exposición, importancia para los activos e impacto para la empresa.

Tal vez no resulte sorprendente que la principal CVE atacada por nuevo malware el año pasado fuera el fallo Log4j, CVE-2021-44228, que en realidad se publicó a finales de diciembre de 2021. En segundo y tercer lugar se situaron la vulnerabilidad RCE de Atlassian Confluence, CVE-2022-26134, y el fallo RCE «Follina» de Microsoft Windows Support Diagnostic Tool (MSDT), CVE-2022-30190.

Según el informe, de los nuevos programas maliciosos descubiertos en 2022 que aprovechaban vulnerabilidades conocidas, la categoría de puertas traseras fue la más prolífica