Configuraciones incorrectas, vulnerabilidades encontradas en el 95% de las aplicaciones

Casi todas las aplicaciones tienen al menos una vulnerabilidad o mala configuración que afecta la seguridad y una cuarta parte de las pruebas de aplicaciones encontraron una vulnerabilidad alta o críticamente grave, según muestra un nuevo estudio.

La configuración débil de SSL y TLS, la falta del encabezado de la Política de seguridad de contenido (CSP) y la filtración de información a través de los banners del servidor encabezaron la lista de problemas de software con implicaciones de seguridad, según los hallazgos del nuevo informe Software Vulnerabilities Snapshot 2022 del conglomerado de herramientas de software y hardware Synopsys, publicado hoy. . Si bien muchas de las configuraciones erróneas y vulnerabilidades se consideran de gravedad media o menos, al menos el 25 % se clasifican como altamente o críticamente graves.

Los problemas de configuración a menudo se clasifican en un grupo menos grave, pero tanto los problemas de configuración como los de codificación son igualmente riesgosos, dice Ray Kelly, miembro del Software Integrity Group de Synopsys.

"Esto en realidad simplemente señala que, [si bien] las organizaciones pueden estar haciendo un buen trabajo realizando escaneos estáticos para reducir la cantidad de vulnerabilidades de codificación, no están tomando en cuenta la configuración, ya que puede ser más difícil", afirma. "Desafortunadamente, los análisis de pruebas de seguridad de aplicaciones estáticas (SAST) no pueden realizar comprobaciones de configuración porque no tienen conocimiento del entorno de producción donde se implementará el código".

Los datos defienden los beneficios de utilizar múltiples herramientas para analizar el software en busca de vulnerabilidades y configuraciones incorrectas. 

Las pruebas de penetración, por ejemplo, detectaron el 77% de los problemas de configuración SSL/TLS débiles, mientras que las pruebas dinámicas de seguridad de aplicaciones (DAST) detectaron el problema en el 81% de las pruebas. Ambas tecnologías, más las pruebas de seguridad de aplicaciones móviles (MAST), llevaron a que el problema se descubriera en el 82% de las pruebas. según el informe de Synopsys.

Otras empresas de seguridad de aplicaciones han documentado resultados similares. En la última década, por ejemplo, se escanean tres veces más aplicaciones y cada una de ellas se escanea 20 veces más frecuentemente, según Veracode. declarado en su informe "Estado de la seguridad del software" en febrero. Si bien ese informe encontró que el 77% de las bibliotecas de terceros aún no habían eliminado una vulnerabilidad revelada tres meses después de que se informó el problema, el código parcheado se aplicó tres veces más rápido.

Las empresas de software que utilizan escaneo dinámico y estático en conjunto remediaron la mitad de las fallas 24 días más rápido, afirmó Veracode.

"Las pruebas e integración continuas, que incluyen escaneos de seguridad en las tuberías, se están convirtiendo en la norma". la firma declaró en una publicación de blog en ese momento.

No solo SAST, no solo DAST

Synopsys publicó datos de una variedad de pruebas diferentes, cada una de las cuales tenía principales infractores similares. Las configuraciones débiles de la tecnología de cifrado, a saber, Secure Sockets Layer (SSL) y Transport Layer Security (TLS), encabezaron las listas de pruebas de seguridad de aplicaciones estáticas, dinámicas y móviles, por ejemplo.

Sin embargo, las cuestiones empiezan a divergir más abajo en las listas. Las pruebas de penetración identificaron políticas de contraseñas débiles en una cuarta parte de las aplicaciones y scripts entre sitios en el 22%, mientras que DAST identificó aplicaciones que carecían de tiempos de espera de sesión adecuados en el 38% de las pruebas y aquellas vulnerables al clickjacking en el 30% de las pruebas.

Las pruebas estáticas y dinámicas, así como el análisis de composición de software (SCA), tienen ventajas y deben usarse juntas para tener la mayor probabilidad de detectar posibles errores de configuración y vulnerabilidades, dice Kelly de Synopsys.

"Dicho esto, un enfoque holístico requiere tiempo, recursos y dinero, por lo que puede no ser factible para muchas organizaciones", afirma. "Tomarse el tiempo para diseñar la seguridad en el proceso también puede ayudar a encontrar y eliminar tantas vulnerabilidades como sea posible (cualquiera que sea su tipo) a lo largo del camino para que la seguridad sea proactiva y se reduzca el riesgo".

En total, la empresa recopiló datos de casi 4,400 pruebas en más de 2,700 programas. Las secuencias de comandos entre sitios fueron la principal vulnerabilidad de alto riesgo, representando el 22% de las vulnerabilidades descubiertas, mientras que la inyección SQL fue la categoría de vulnerabilidad más crítica, representando el 4%.

Peligros de la cadena de suministro de software

Con software de código abierto que comprende casi el 80% de las bases de código, no sorprende que el 81% de las bases de código tengan al menos una vulnerabilidad y otro 85% tenga un componente de código abierto con cuatro años de desactualización.

Sin embargo, Synopsys descubrió que, a pesar de esas preocupaciones, las vulnerabilidades en la seguridad de la cadena de suministro y los componentes de software de código abierto representaban sólo alrededor de una cuarta parte de los problemas. La categoría de debilidades de seguridad de bibliotecas vulnerables de terceros en uso se descubrió en el 21% de las pruebas de penetración y en el 27% de las pruebas de análisis estático, según el informe.

Parte de la razón de las vulnerabilidades menores a las esperadas en los componentes de software puede deberse a que el análisis de composición de software (SCA) se ha vuelto más utilizado, dice Kelly.

"Este tipo de problemas se pueden encontrar en las primeras etapas del ciclo de vida de desarrollo de software (SDLC), como las fases de desarrollo y DevOps, lo que reduce el número de personas que llegan a producción", afirma.