Bijna elke applicatie heeft minstens één kwetsbaarheid of verkeerde configuratie die de veiligheid beïnvloedt en een kwart van de applicatietests heeft een zeer of kritisch ernstige kwetsbaarheid gevonden, blijkt uit een nieuw onderzoek.
Zwakke SSL- en TLS-configuratie, ontbrekende Content Security Policy (CSP)-header en informatielekken via serverbanners stonden bovenaan de lijst van softwareproblemen met gevolgen voor de veiligheid, volgens bevindingen in het nieuwe Software Vulnerabilities Snapshot 2022-rapport van software- en hardwaretoolconglomeraat Synopsys dat vandaag is gepubliceerd . Hoewel veel van de misconfiguraties en kwetsbaarheden als middelmatig of minder ernstig worden beschouwd, wordt ten minste 25% als zeer of kritisch ernstig beoordeeld.
Configuratieproblemen worden vaak in een minder ernstige categorie geplaatst, maar zowel configuratie- als coderingsproblemen zijn even riskant, zegt Ray Kelly, een fellow bij de Software Integrity Group bij Synopsys.
“Dit wijst er eigenlijk alleen maar op dat organisaties weliswaar goed werk leveren met het uitvoeren van statische scans om het aantal codeerkwetsbaarheden te verminderen, maar dat ze geen rekening houden met de configuratie, omdat die wellicht moeilijker is”, zegt hij. "Helaas kunnen statische applicatiebeveiligingstests (SAST) -scans geen configuratiecontroles uitvoeren omdat [ze] geen kennis hebben van de productieomgeving waarin de code zal worden geïmplementeerd."
De gegevens pleiten voor de voordelen van het gebruik van meerdere tools om software te analyseren op kwetsbaarheden en verkeerde configuraties.
Penetratietests hebben bijvoorbeeld 77% van de zwakke SSL/TLS-configuratieproblemen gedetecteerd, terwijl dynamische applicatiebeveiligingstests (DAST) het probleem in 81% van de tests hebben gedetecteerd. Zowel de technologieën als de mobiele applicatiebeveiligingstests (MAST) hebben ertoe geleid dat het probleem in 82% van de tests werd ontdekt. volgens het Synopsys-rapport.
Andere applicatiebeveiligingsbedrijven hebben vergelijkbare resultaten gedocumenteerd. In de afgelopen tien jaar zijn er bijvoorbeeld drie keer zoveel applicaties gescand, en elke applicatie twintig keer vaker, zegt Veracode. vermeld in het rapport ‘State of Software Security’ van februari. Hoewel uit dat rapport bleek dat 77% van de bibliotheken van derden een bekendgemaakte kwetsbaarheid drie maanden nadat het probleem was gemeld nog steeds niet had geëlimineerd, werd de gepatchte code drie keer sneller toegepast.
Softwarebedrijven die dynamisch en statisch scannen samen gebruiken, hebben de helft van de fouten 24 dagen sneller verholpen, aldus Veracode.
“Continu testen en integreren, inclusief beveiligingsscans in pijpleidingen, wordt de norm”, aldus het bedrijf destijds in een blogpost.
Niet alleen SAST, niet alleen DAST
Synopsys heeft gegevens vrijgegeven van verschillende tests, waarbij elke test vergelijkbare topovertreders bevatte. Zwakke configuraties van encryptietechnologie – namelijk Secure Sockets Layer (SSL) en Transport Layer Security (TLS) – stonden bijvoorbeeld bovenaan de hitlijsten voor statische, dynamische en mobiele applicatiebeveiligingstests.
Toch zullen de problemen verderop in de lijsten uiteenlopen. Penetratietests identificeerden zwak wachtwoordbeleid in een kwart van de applicaties en cross-site scripting in 22%, terwijl DAST in 38% van de tests applicaties identificeerde die onvoldoende sessietime-outs hadden en in 30% van de tests kwetsbaar waren voor clickjacking.
Statisch en dynamisch testen, evenals softwarecompositieanalyse (SCA) hebben allemaal voordelen en moeten samen worden gebruikt om de grootste kans te hebben om potentiële misconfiguraties en kwetsbaarheden te detecteren, zegt Kelly van Synopsys.
“Dat gezegd hebbende, kost een holistische aanpak tijd, middelen en geld, dus dit is voor veel organisaties misschien niet haalbaar”, zegt hij. “Door de tijd te nemen om beveiliging in het proces te integreren, kun je onderweg zoveel mogelijk kwetsbaarheden – ongeacht het type – opsporen en elimineren, zodat de beveiliging proactief is en de risico’s worden verminderd.”
In totaal verzamelde het bedrijf gegevens van bijna 4,400 tests op meer dan 2,700 programma's. Cross-site scripting was de grootste kwetsbaarheid met een hoog risico, goed voor 22% van de ontdekte kwetsbaarheden, terwijl SQL-injectie de meest kritieke kwetsbaarheidscategorie was, goed voor 4%.
Gevaren van de softwaretoeleveringsketen
Met open-sourcesoftware bestaande uit bijna 80% van de codebases, is het geen verrassing dat 81% van de codebases minstens één kwetsbaarheid heeft en nog eens 85% een open-sourcecomponent heeft die vier jaar verouderd is.
Toch ontdekte Synopsys dat, ondanks deze zorgen, kwetsbaarheden in de beveiliging van de toeleveringsketen en open-source softwarecomponenten slechts ongeveer een kwart van de problemen veroorzaakten. De categorie Kwetsbare externe bibliotheken in gebruik werd in 21% van de penetratietests en 27% van de statische analysetests aan het licht gebracht, aldus het rapport.
Een deel van de reden voor de lager dan verwachte kwetsbaarheden in softwarecomponenten kan zijn dat softwarecompositie-analyse (SCA) op grotere schaal wordt gebruikt, zegt Kelly.
“Dit soort problemen zijn te vinden in de vroege stadia van de softwareontwikkelingslevenscyclus (SDLC), zoals de ontwikkelings- en DevOps-fasen, waardoor het aantal problemen dat in productie komt afneemt”, zegt hij.
