Εσφαλμένες διαμορφώσεις, ευπάθειες που βρέθηκαν στο 95% των εφαρμογών

Σχεδόν κάθε εφαρμογή έχει τουλάχιστον μία ευπάθεια ή εσφαλμένη διαμόρφωση που επηρεάζει την ασφάλεια και το ένα τέταρτο των δοκιμών εφαρμογών εντόπισαν μια εξαιρετικά ή εξαιρετικά σοβαρή ευπάθεια, δείχνει μια νέα μελέτη.

Η αδύναμη διαμόρφωση SSL και TLS, η έλλειψη κεφαλίδας Πολιτικής Ασφάλειας Περιεχομένου (CSP) και η διαρροή πληροφοριών μέσω banner διακομιστών ήταν στην κορυφή της λίστας ζητημάτων λογισμικού με επιπτώσεις στην ασφάλεια, σύμφωνα με ευρήματα στον όμιλο ετερογενών δραστηριοτήτων λογισμικού και εργαλείων υλικού της νέας έκθεσης Software Vulnerabilities Snapshot 2022 της Synopsys που δημοσιεύτηκε σήμερα . Ενώ πολλές από τις λανθασμένες διαμορφώσεις και τα τρωτά σημεία θεωρούνται μέτριας σοβαρότητας ή μικρότερης, τουλάχιστον το 25% αξιολογούνται ως άκρως ή κρίσιμα σοβαρά.

Τα ζητήματα διαμόρφωσης συχνά τοποθετούνται σε λιγότερο σοβαρό κάδο, αλλά τόσο τα ζητήματα διαμόρφωσης όσο και κωδικοποίησης είναι εξίσου επικίνδυνα, λέει ο Ray Kelly, συνεργάτης του Software Integrity Group στο Synopsys.

«Αυτό πραγματικά απλώς επισημαίνει ότι, [ενώ] οι οργανισμοί μπορεί να κάνουν καλή δουλειά εκτελώντας στατικές σαρώσεις για να μειώσουν τον αριθμό των τρωτών σημείων κωδικοποίησης, δεν λαμβάνουν υπόψη τη διαμόρφωση, καθώς μπορεί να είναι πιο δύσκολη», λέει. «Δυστυχώς, οι σαρώσεις στατικής ασφάλειας εφαρμογών (SAST) δεν μπορούν να εκτελέσουν ελέγχους διαμόρφωσης, καθώς [δεν έχουν] γνώση του περιβάλλοντος παραγωγής όπου θα αναπτυχθεί ο κώδικας».

Τα δεδομένα υποστηρίζουν τα οφέλη από τη χρήση πολλαπλών εργαλείων για την ανάλυση λογισμικού για τρωτά σημεία και εσφαλμένες διαμορφώσεις. 

Οι δοκιμές διείσδυσης, για παράδειγμα, εντόπισαν το 77% των αδύναμων προβλημάτων διαμόρφωσης SSL/TLS, ενώ η δοκιμή ασφάλειας δυναμικής εφαρμογής (DAST) εντόπισε το πρόβλημα στο 81% των δοκιμών. Και οι δύο τεχνολογίες, καθώς και η δοκιμή ασφάλειας εφαρμογών για κινητά (MAST), οδήγησαν στην ανακάλυψη του ζητήματος στο 82% των δοκιμών, σύμφωνα με την έκθεση Synopsys.

Άλλες εταιρείες ασφάλειας εφαρμογών έχουν τεκμηριώσει παρόμοια αποτελέσματα. Την τελευταία δεκαετία, για παράδειγμα, σαρώνονται τρεις φορές περισσότερες εφαρμογές και κάθε μία σαρώνεται 20 φορές πιο συχνά, Veracode δήλωσε στην έκθεσή του για την «Κατάσταση ασφάλειας λογισμικού» τον Φεβρουάριο. Ενώ αυτή η αναφορά διαπίστωσε ότι το 77% των βιβλιοθηκών τρίτων δεν είχε εξαλείψει ακόμη μια ευπάθεια που αποκαλύφθηκε τρεις μήνες μετά την αναφορά του ζητήματος, ο κώδικας που διορθώθηκε εφαρμόστηκε τρεις φορές πιο γρήγορα.

Οι εταιρείες λογισμικού που χρησιμοποιούν δυναμική και στατική σάρωση σε συναυλίες διόρθωσαν τα μισά ελαττώματα 24 ημέρες γρηγορότερα, δήλωσε η Veracode.

«Οι συνεχείς δοκιμές και ενσωμάτωση, που περιλαμβάνει σάρωση ασφαλείας σε αγωγούς, γίνεται ο κανόνας». δήλωσε η εταιρεία σε μια ανάρτηση ιστολογίου εκείνη την εποχή.

Όχι μόνο SAST, όχι μόνο DAST

Η Synopsys δημοσίευσε δεδομένα από μια ποικιλία διαφορετικών δοκιμών με το καθένα να έχει παρόμοιους κορυφαίους παραβάτες. Οι αδύναμες διαμορφώσεις της τεχνολογίας κρυπτογράφησης — συγκεκριμένα, Secure Sockets Layer (SSL) και Transport Layer Security (TLS) — ήταν στην κορυφή των γραφημάτων για στατικές, δυναμικές και δοκιμές ασφάλειας εφαρμογών για φορητές συσκευές, για παράδειγμα.

Ωστόσο, τα ζητήματα αρχίζουν να αποκλίνουν πιο κάτω στις λίστες. Οι δοκιμές διείσδυσης εντόπισαν αδύναμες πολιτικές κωδικών πρόσβασης στο ένα τέταρτο των εφαρμογών και δέσμες ενεργειών μεταξύ τοποθεσιών στο 22%, ενώ το DAST εντόπισε εφαρμογές που δεν είχαν επαρκή χρονικά όρια περιόδου λειτουργίας στο 38% των δοκιμών και εκείνες που ήταν ευάλωτες σε clickjacking στο 30% των δοκιμών.

Οι στατικές και δυναμικές δοκιμές καθώς και η ανάλυση σύνθεσης λογισμικού (SCA) έχουν όλα πλεονεκτήματα και θα πρέπει να χρησιμοποιούνται μαζί για να έχουν την υψηλότερη πιθανότητα εντοπισμού πιθανών εσφαλμένων διαμορφώσεων και τρωτών σημείων, λέει η Kelly της Synopsys.

«Τούτου λεχθέντος, μια ολιστική προσέγγιση απαιτεί χρόνο, πόρους και χρήματα, επομένως αυτό μπορεί να μην είναι εφικτό για πολλούς οργανισμούς», λέει. «Το να αφιερώνετε χρόνο για να σχεδιάσετε την ασφάλεια στη διαδικασία μπορεί επίσης να βοηθήσει στην εύρεση και την εξάλειψη όσο το δυνατόν περισσότερων τρωτών σημείων — ανεξάρτητα από τον τύπο τους — στην πορεία, έτσι ώστε η ασφάλεια να είναι προληπτική και να μειωθεί ο κίνδυνος».

Συνολικά η εταιρεία συνέλεξε δεδομένα από σχεδόν 4,400 δοκιμές σε περισσότερα από 2,700 προγράμματα. Η δέσμη ενεργειών μεταξύ τοποθεσιών ήταν η κορυφαία ευπάθεια υψηλού κινδύνου, αντιπροσωπεύοντας το 22% των τρωτών σημείων που ανακαλύφθηκαν, ενώ η ένεση SQL ήταν η πιο κρίσιμη κατηγορία ευπάθειας, με ποσοστό 4%.

Κίνδυνοι της Εφοδιαστικής Αλυσίδας Λογισμικού

Με λογισμικό ανοιχτού κώδικα που περιλαμβάνει σχεδόν το 80% των βάσεων κωδικών, δεν προκαλεί έκπληξη το γεγονός ότι το 81% των βάσεων κώδικα έχουν τουλάχιστον μία ευπάθεια και ένα άλλο 85% έχει ένα στοιχείο ανοιχτού κώδικα που είναι τέσσερα χρόνια ξεπερασμένο.

Ωστόσο, η Synopsys διαπίστωσε ότι, παρά αυτές τις ανησυχίες, τα τρωτά σημεία στην ασφάλεια της εφοδιαστικής αλυσίδας και τα στοιχεία λογισμικού ανοιχτού κώδικα αντιπροσώπευαν μόνο το ένα τέταρτο περίπου των ζητημάτων. Η κατηγορία αδυναμιών ασφαλείας των Ευάλωτων Βιβλιοθηκών Τρίτων σε Χρήση αποκαλύφθηκε στο 21% των δοκιμών διείσδυσης και στο 27% των δοκιμών στατικής ανάλυσης, αναφέρει η έκθεση.

Μέρος του λόγου για τις χαμηλότερες από τις αναμενόμενες ευπάθειες στα στοιχεία λογισμικού μπορεί να οφείλεται στο ότι η ανάλυση σύνθεσης λογισμικού (SCA) έχει γίνει ευρύτερα χρησιμοποιούμενη, λέει η Kelly.

«Αυτοί οι τύποι προβλημάτων μπορούν να βρεθούν στα πρώτα στάδια του κύκλου ζωής ανάπτυξης λογισμικού (SDLC), όπως οι φάσεις ανάπτυξης και DevOps, γεγονός που μειώνει τον αριθμό που το κάνουν στην παραγωγή», λέει.