Erros de configuração e vulnerabilidades encontrados em 95% dos aplicativos

Quase todos os aplicativos têm pelo menos uma vulnerabilidade ou configuração incorreta que afeta a segurança, e um quarto dos testes de aplicativos encontrou uma vulnerabilidade altamente ou criticamente grave, mostra um novo estudo.

Configuração fraca de SSL e TLS, cabeçalho ausente da Política de Segurança de Conteúdo (CSP) e vazamento de informações por meio de banners de servidor lideraram a lista de problemas de software com implicações de segurança, de acordo com descobertas do novo relatório Instantâneo de vulnerabilidades de software 2022 do conglomerado de ferramentas de software e hardware da Synopsys publicado hoje . Embora muitas das configurações incorretas e vulnerabilidades sejam consideradas de gravidade média ou inferior, pelo menos 25% são classificadas como altamente ou criticamente graves.

Os problemas de configuração costumam ser colocados em um grupo menos grave, mas tanto os problemas de configuração quanto os de codificação são igualmente arriscados, diz Ray Kelly, membro do Grupo de Integridade de Software da Synopsys.

“Isso realmente apenas indica que, [embora] as organizações possam estar fazendo um bom trabalho realizando varreduras estáticas para reduzir o número de vulnerabilidades de codificação, elas não estão levando a configuração em consideração, pois pode ser mais difícil”, diz ele. “Infelizmente, as varreduras de testes estáticos de segurança de aplicativos (SAST) não podem realizar verificações de configuração porque não têm conhecimento do ambiente de produção onde o código será implantado.”

Os dados defendem os benefícios do uso de múltiplas ferramentas para analisar software em busca de vulnerabilidades e configurações incorretas. 

Os testes de penetração, por exemplo, detectaram 77% dos problemas de configuração SSL/TLS fracos, enquanto os testes dinâmicos de segurança de aplicativos (DAST) detectaram o problema em 81% dos testes. Ambas as tecnologias, além dos testes de segurança de aplicativos móveis (MAST), fizeram com que o problema fosse descoberto em 82% dos testes, de acordo com o relatório da Synopsys.

Outras empresas de segurança de aplicativos documentaram resultados semelhantes. Na última década, por exemplo, três vezes mais aplicativos foram verificados e cada um deles foi verificado 20 vezes mais frequentemente, diz Veracode. declarado em seu relatório “Estado da segurança de software” em fevereiro. Embora esse relatório tenha descoberto que 77% das bibliotecas de terceiros ainda não haviam eliminado uma vulnerabilidade divulgada três meses após o problema ter sido relatado, o código corrigido foi aplicado três vezes mais rápido.

As empresas de software que usam varredura dinâmica e estática em conjunto corrigiram metade das falhas 24 dias mais rápido, afirmou Veracode.

“Testes e integração contínuos, que incluem verificação de segurança em pipelines, estão se tornando a norma”, a empresa declarou em uma postagem de blog na época.

Não apenas SAST, não apenas DAST

A Synopsys divulgou dados de uma variedade de testes diferentes, cada um com os principais infratores semelhantes. Configurações fracas de tecnologia de criptografia – ou seja, Secure Sockets Layer (SSL) e Transport Layer Security (TLS) – lideraram os gráficos para testes de segurança de aplicativos estáticos, dinâmicos e móveis, por exemplo.

No entanto, as questões começam a divergir mais abaixo nas listas. Os testes de penetração identificaram políticas de senhas fracas em um quarto dos aplicativos e scripts entre sites em 22%, enquanto o DAST identificou aplicativos sem tempos limite de sessão adequados em 38% dos testes e vulneráveis ​​a clickjacking em 30% dos testes.

Os testes estáticos e dinâmicos, bem como a análise de composição de software (SCA), têm vantagens e devem ser usados ​​em conjunto para ter a maior chance de detectar possíveis configurações incorretas e vulnerabilidades, diz Kelly, da Synopsys.

“Dito isto, uma abordagem holística exige tempo, recursos e dinheiro, pelo que isto pode não ser viável para muitas organizações”, afirma. “Reservar algum tempo para incluir a segurança no processo também pode ajudar a encontrar e eliminar o maior número possível de vulnerabilidades – seja qual for o seu tipo – ao longo do caminho, para que a segurança seja proativa e o risco seja reduzido.”

No geral, a empresa coletou dados de quase 4,400 testes em mais de 2,700 programas. O cross-site scripting foi a principal vulnerabilidade de alto risco, representando 22% das vulnerabilidades descobertas, enquanto a injeção de SQL foi a categoria de vulnerabilidade mais crítica, representando 4%.

Perigos da cadeia de suprimentos de software

Com software de código aberto compreendendo quase 80% das bases de código, não é nenhuma surpresa que 81% das bases de código tenham pelo menos uma vulnerabilidade e outros 85% tenham um componente de código aberto que está desatualizado há quatro anos.

No entanto, a Synopsys descobriu que, apesar dessas preocupações, as vulnerabilidades na segurança da cadeia de abastecimento e nos componentes de software de código aberto representavam apenas cerca de um quarto dos problemas. A categoria de vulnerabilidades de segurança de bibliotecas vulneráveis ​​de terceiros em uso foi descoberta em 21% dos testes de penetração e 27% dos testes de análise estática, disse o relatório.

Parte da razão para as vulnerabilidades menores do que o esperado nos componentes de software pode ser porque a análise de composição de software (SCA) se tornou mais amplamente utilizada, diz Kelly.

“Esses tipos de problemas podem ser encontrados nos estágios iniciais do ciclo de vida de desenvolvimento de software (SDLC), como as fases de desenvolvimento e DevOps, o que reduz o número de pessoas que chegam à produção”, afirma.