Obsolescência não-Programada: Análise do Uso de Software Desatualizado em Ambiente de Produção
Resumo
O avanço da computação ampliou as superfícies de ataque, criando novos alvos para criminosos explorarem vulnerabilidades conhecidas e não corrigidas. A manutenção e atualização constante de sistemas são essenciais, mas a falta de boas práticas expõe usuários a riscos evitáveis. Relatórios indicam que 76% dos ataques de ransomware em 2022 exploraram vulnerabilidades conhecidas. Este artigo investiga o problema do software desatualizado em organizações, com base em dados de mais de 129 milhões de registros de atividades de 23 mil usuários em 567 organizações. As contribuições incluem análise regionalizada da desatualização de programas, lições para priorização de políticas preventivas e disponibilização de dados anonimizados para estudos futuros.Referências
Adobe Security Bulletin (2023). Security updates available for adobe coldfusion | apsb2325. [link].
Bellissimo, A., Burgess, J., and Fu, K. (2006). Secure software updates: Disappointments and new challenges. In First USENIX Workshop on Hot Topics in Security (HotSec 06), Vancouver, B.C. Canada. USENIX Association.
CERT.br (2024). Serviços vulneráveis. [link].
Fan, R. (2023). Brasil é o país com o maior volume e dados expostos no mundo. [link].
Federal Trade Comission (2022). Equifax data breach settlement. [link]. Acessado em Junho de 2024.
Garcia, D. (2023). Ticking time bombs: The danger of outdated software in the cybersecurity landscape. [link]. Accessed: 2024-06-07.
Jenkins, A. D. G., Liu, L., Wolters, M. K., and Vaniea, K. (2024). Not as easy as just update: Survey of system administrators and patching behaviours. In Proceedings of the CHI Conference on Human Factors in Computing Systems, CHI ’24, New York, NY, USA. Association for Computing Machinery.
Jones, C. (2023). Cisa details twin attacks on federal servers via unpatched coldfusion flaw. [link].
Kerner, S. M. (2017). Wannacry ransomware attack hits victims with microsoft smb exploit. [link]. Acessado em Junho de 2024.
Li, F., Rogers, L., Mathur, A., Malkin, N., and Chetty, M. (2019). Keepers of the machines: examining how system administrators manage software updates. In Proceedings of the Fifteenth USENIX Conference on Usable Privacy and Security, SOUPS’19, page 273–288, USA. USENIX Association.
Martius, F. and Tiefenau, C. (2020). What does this update do to my systems? – an analysis of the importance of update-related information to system administrators. In USENIX Symposium on Usable Privacy and Security (SOUPS), Virtual Conference. USENIX Association.
National Vulnerability Database (2024). Common vulnerabilities and exposures program. [link].
NIST (2023). Cve-2023-26360 - adobe coldfusion deserialization of untrusted data vulnerability. [link].
Securin, CSW, Ivanti, and Cyware (2023). Ransomware report. [link].
Security ScoreCard (2024). Cvedetails. [link].
Wash, R., Rader, E., Vaniea, K., and Rizor, M. (2014). Out of the loop: how automated software updates cause unintended security consequences. In Proceedings of the Tenth USENIX Conference on Usable Privacy and Security, SOUPS ’14, page 89–104, USA. USENIX Association.
Bellissimo, A., Burgess, J., and Fu, K. (2006). Secure software updates: Disappointments and new challenges. In First USENIX Workshop on Hot Topics in Security (HotSec 06), Vancouver, B.C. Canada. USENIX Association.
CERT.br (2024). Serviços vulneráveis. [link].
Fan, R. (2023). Brasil é o país com o maior volume e dados expostos no mundo. [link].
Federal Trade Comission (2022). Equifax data breach settlement. [link]. Acessado em Junho de 2024.
Garcia, D. (2023). Ticking time bombs: The danger of outdated software in the cybersecurity landscape. [link]. Accessed: 2024-06-07.
Jenkins, A. D. G., Liu, L., Wolters, M. K., and Vaniea, K. (2024). Not as easy as just update: Survey of system administrators and patching behaviours. In Proceedings of the CHI Conference on Human Factors in Computing Systems, CHI ’24, New York, NY, USA. Association for Computing Machinery.
Jones, C. (2023). Cisa details twin attacks on federal servers via unpatched coldfusion flaw. [link].
Kerner, S. M. (2017). Wannacry ransomware attack hits victims with microsoft smb exploit. [link]. Acessado em Junho de 2024.
Li, F., Rogers, L., Mathur, A., Malkin, N., and Chetty, M. (2019). Keepers of the machines: examining how system administrators manage software updates. In Proceedings of the Fifteenth USENIX Conference on Usable Privacy and Security, SOUPS’19, page 273–288, USA. USENIX Association.
Martius, F. and Tiefenau, C. (2020). What does this update do to my systems? – an analysis of the importance of update-related information to system administrators. In USENIX Symposium on Usable Privacy and Security (SOUPS), Virtual Conference. USENIX Association.
National Vulnerability Database (2024). Common vulnerabilities and exposures program. [link].
NIST (2023). Cve-2023-26360 - adobe coldfusion deserialization of untrusted data vulnerability. [link].
Securin, CSW, Ivanti, and Cyware (2023). Ransomware report. [link].
Security ScoreCard (2024). Cvedetails. [link].
Wash, R., Rader, E., Vaniea, K., and Rizor, M. (2014). Out of the loop: how automated software updates cause unintended security consequences. In Proceedings of the Tenth USENIX Conference on Usable Privacy and Security, SOUPS ’14, page 89–104, USA. USENIX Association.
Publicado
16/09/2024
Como Citar
KUJAVSKI, Luan Marko; PENTEADO, Ulisses; ALMEIDA, Paulo Lisboa de; GRÉGIO, André.
Obsolescência não-Programada: Análise do Uso de Software Desatualizado em Ambiente de Produção. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 24. , 2024, São José dos Campos/SP.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2024
.
p. 508-521.
DOI: https://doi.org/10.5753/sbseg.2024.241435.
