Fast jede Anwendung weist mindestens eine Sicherheitslücke oder Fehlkonfiguration auf, und ein Viertel der Anwendungstests ergab eine äußerst oder kritisch schwerwiegende Sicherheitslücke, wie eine neue Studie zeigt.
Eine schwache SSL- und TLS-Konfiguration, ein fehlender Content Security Policy (CSP)-Header und Informationslecks durch Server-Banner standen ganz oben auf der Liste der Softwareprobleme mit Auswirkungen auf die Sicherheit. Dies geht aus Erkenntnissen des heute veröffentlichten neuen Berichts „Software Vulnerabilities Snapshot 2022“ des Software- und Hardware-Tools-Konzerns Synopsys hervor . Während viele der Fehlkonfigurationen und Schwachstellen als mittelschwer oder weniger eingestuft werden, werden mindestens 25 % als hoch oder kritisch schwerwiegend eingestuft.
Konfigurationsprobleme werden oft in einen weniger schwerwiegenden Bereich eingeordnet, aber sowohl Konfigurations- als auch Codierungsprobleme sind gleichermaßen riskant, sagt Ray Kelly, Mitarbeiter der Software Integrity Group bei Synopsys.
„Dies zeigt wirklich nur, dass Unternehmen zwar gute Arbeit leisten, indem sie statische Scans durchführen, um die Anzahl der Schwachstellen in der Codierung zu verringern, die Konfiguration jedoch nicht berücksichtigen, da dies möglicherweise schwieriger ist“, sagt er. „Leider können SAST-Scans (Static Application Security Testing) keine Konfigurationsprüfungen durchführen, da sie keine Kenntnis von der Produktionsumgebung haben, in der der Code bereitgestellt wird.“
Die Daten belegen die Vorteile der Verwendung mehrerer Tools zur Analyse von Software auf Schwachstellen und Fehlkonfigurationen.
Penetrationstests beispielsweise erkannten 77 % der schwachen SSL/TLS-Konfigurationsprobleme, während dynamische Anwendungssicherheitstests (DAST) das Problem in 81 % der Tests erkannten. Beide Technologien sowie mobile Anwendungssicherheitstests (MAST) führten dazu, dass das Problem in 82 % der Tests entdeckt wurde. laut dem Synopsys-Bericht.
Andere Anwendungssicherheitsfirmen haben ähnliche Ergebnisse dokumentiert. Im letzten Jahrzehnt wurden beispielsweise dreimal mehr Anwendungen gescannt, und jede einzelne wurde 20-mal häufiger gescannt, Veracode heißt es in seinem Bericht „State of Software Security“ vom Februar. Während in diesem Bericht festgestellt wurde, dass 77 % der Bibliotheken von Drittanbietern drei Monate nach der Meldung des Problems eine offengelegte Schwachstelle immer noch nicht beseitigt hatten, wurde der gepatchte Code dreimal schneller angewendet.
Laut Veracode konnten Softwarefirmen, die dynamisches und statisches Scannen gemeinsam nutzen, die Hälfte der Fehler 24 Tage schneller beheben.
„Kontinuierliche Tests und Integration, einschließlich Sicherheitsscans in Pipelines, werden zur Norm“ erklärte das Unternehmen damals in einem Blogbeitrag.
Nicht nur SAST, nicht nur DAST
Synopsys veröffentlichte Daten aus verschiedenen Tests, bei denen es jeweils ähnliche Top-Täter gab. Schwache Konfigurationen der Verschlüsselungstechnologie – nämlich Secure Sockets Layer (SSL) und Transport Layer Security (TLS) – standen beispielsweise bei statischen, dynamischen und mobilen Anwendungssicherheitstests ganz oben auf der Liste.
Allerdings weichen die Themen weiter unten auf der Liste deutlich voneinander ab. Penetrationstests identifizierten in einem Viertel der Anwendungen schwache Passwortrichtlinien und in 22 % Cross-Site-Scripting, während DAST in 38 % der Tests Anwendungen identifizierte, denen es an angemessenen Sitzungszeitüberschreitungen mangelte, und in 30 % der Tests Anwendungen, die anfällig für Clickjacking waren.
Statische und dynamische Tests sowie Software-Kompositionsanalyse (SCA) haben alle Vorteile und sollten zusammen verwendet werden, um die größtmögliche Chance zu haben, potenzielle Fehlkonfigurationen und Schwachstellen zu erkennen, sagt Kelly von Synopsys.
„Allerdings braucht ein ganzheitlicher Ansatz Zeit, Ressourcen und Geld, sodass dies für viele Organisationen möglicherweise nicht realisierbar ist“, sagt er. „Wenn man sich die Zeit nimmt, die Sicherheit in den Prozess einzubeziehen, kann dies auch dazu beitragen, so viele Schwachstellen wie möglich – unabhängig von ihrer Art – zu finden und zu beseitigen, sodass die Sicherheit proaktiv ist und das Risiko reduziert wird.“
Insgesamt sammelte das Unternehmen Daten aus fast 4,400 Tests zu mehr als 2,700 Programmen. Cross-Site-Scripting war mit 22 % der entdeckten Schwachstellen die Schwachstelle mit dem höchsten Risiko, während SQL-Injection mit 4 % die kritischste Schwachstellenkategorie darstellte.
Gefahren in der Software-Lieferkette
Mit Open-Source-Software bestehend aus fast 80 % der CodebasenEs ist wenig überraschend, dass 81 % der Codebasen mindestens eine Schwachstelle aufweisen und weitere 85 % eine Open-Source-Komponente aufweisen, die vier Jahre veraltet ist.
Dennoch stellte Synopsys fest, dass trotz dieser Bedenken Schwachstellen in der Lieferkettensicherheit und in Open-Source-Softwarekomponenten nur etwa ein Viertel der Probleme ausmachten. Die Sicherheitslücken der Kategorie „Vulnerable Third-Party Libraries in Use“ wurden in 21 % der Penetrationstests und 27 % der statischen Analysetests aufgedeckt, heißt es in dem Bericht.
Einer der Gründe dafür, dass die Schwachstellen in Softwarekomponenten geringer ausfielen als erwartet, könnte darin liegen, dass die Analyse der Softwarezusammensetzung (Software Composition Analysis, SCA) immer häufiger eingesetzt wird, sagt Kelly.
„Diese Art von Problemen kann in den frühen Phasen des Software Development Lifecycle (SDLC) gefunden werden, etwa in der Entwicklungs- und DevOps-Phase, wodurch sich die Zahl derer, die es in die Produktion schaffen, verringert“, sagt er.
