Η Veracode, Inc, πρωτοπόρος εταιρία δημιουργίας λογισμικού λύσεων ασφάλειας παγκοσμίως, η οποία εξαγοράστηκε από τη CA Technologies ανακοινώνει τα πορίσματα της έκθεσης 2017 State of Software Security Report. Πρόκειται για μια ολοκληρωμένη ανασκόπηση από δοκιμές ασφαλείας εφαρμογών μέσα από σαρώσεις που διεξήχθησαν από βάση με περισσότερους από 1.400 πελάτες της CA Veracode. Μεταξύ άλλων τάσεων της βιομηχανίας, όπως ο ρυθμός διόρθωσης ευπαθειών (vulnerability fix rates) και το ποσοστό των εφαρμογών με τρωτά σημεία, η έκθεση αποκαλύπτει τον εκτεταμένο κίνδυνο από ευπαθή συστατικά (components) ανοιχτού κώδικα. Η έκθεση CA Veracode διαπίστωσε ότι το 88% των εφαρμογών Java περιέχουν τουλάχιστον ένα ευπαθές συστατικό το οποίο τις καθιστά ευάλωτες σε εκτεταμένες επιθέσεις. Αυτό οφείλεται εν μέρει στο γεγονός ότι λιγότερο από το 28 τοις εκατό των εταιρειών διενεργούν τακτικές αναλύσεις προκειμένου να καταλάβουν ποια συστατικά ενσωματώνονται στις εφαρμογές τους.
« Η καθολική χρήση συστατικών στην ανάπτυξη εφαρμογών σημαίνει ότι όταν αποκαλύπτεται ένα μόνο σημείο ευπάθειας σε ένα συστατικό, η ευπάθεια αυτή είναι πιθανό να επηρεάσει χιλιάδες εφαρμογές – καθιστώντας αρκετές από αυτές ευάλωτες (επιρρεπείς στις παραβιάσεις) με μια μόνο εκμετάλλευση, δήλωσε ο Chris Wysopal, CTO, CA Veracode.
Κατά τους προηγούμενους 12 μήνες, αρκετές παραβιάσεις υψηλού προφίλ σε εφαρμογές Java είχαν προκληθεί από διαδεδομένες ευπάθειες σε εμπορικά ή ανοιχτού κώδικα συστατικά. Ένα παράδειγμα διαδεδομένης ευπάθειας συστατικού ήταν και το ελάττωμα «Struts-Shock» το οποίο αποκαλύφθηκε τον Μάρτιο του 2017. Σύμφωνα με την ανάλυση, 68 τοις εκατό των εφαρμογών Java οι οποίες μεταχειρίζονται τη βιβλιοθήκη Apache Struts 2, χρησιμοποιούσαν μια ευάλωτη έκδοση του συστατικού τις εβδομάδες που ακολούθησαν των αρχικών επιθέσεων.
Η κρίσιμη αυτή ευπάθεια στη βιβλιοθήκη Apache Struts 2 επέτρεψε επιθέσεις απομακρυσμένης εκτέλεσης κώδικα (RCE- Remote Code Execution), με την εφαρμογή εντολών παρεμβολής, στις οποίες ήταν ευάλωτες 35 εκατομμύρια τοποθεσίες. Χρησιμοποιώντας αυτή τη διαβρωτική ευπάθεια οι εγκληματίες του κυβερνοχώρου, ήταν σε θέση να εκμεταλλευθούν μια σειρά από εφαρμογές των θυμάτων, με πιο αξιοσημείωτες την Υπηρεσία Εσόδων του Καναδά και του Πανεπιστημίου του Delaware.
Η έκθεση του 2017 για την κατάσταση ασφάλειας λογισμικού (2017 State of Software Security Report- SoSS) επίσης δείχνει ότι περίπου 53,3 τοις εκατό των εφαρμογών Java εξαρτώνται από μια ευάλωτη έκδοση των στοιχείων Commons Collections. Ακόμη και σήμερα, υπάρχουν τόσες εφαρμογές οι οποίες χρησιμοποιούν την ευάλωτη έκδοση, όσες ήταν και το 2016. Η χρήση συστατικών στην ανάπτυξη εφαρμογών αποτελεί κοινή πρακτική, καθώς επιτρέπει στους προγραμματιστές να επαναχρησιμοποιήσουν λειτουργικό κώδικα- επιταχύνοντας την παράδοση του λογισμικού. Οι μελέτες δείχνουν ότι έως και το 75 τοις εκατό του κώδικα μιας συνηθισμένης εφαρμογής αποτελείται από συστατικά ανοιχτού κώδικα.
Στη συνέχεια ο Wysopal δηλώνει, «οι ομάδες προγραμματισμού δεν πρόκειται να σταματήσουν να χρησιμοποιούν συστατικά - ούτε και χρειάζεται. Όμως όταν μια εκμετάλλευση γίνεται διαθέσιμη, ο χρόνος είναι ουσιαστικός. Τα συστατικά τρίτων και αυτά του ανοιχτού κώδικα δεν είναι απαραίτητα λιγότερο ασφαλή από τον κώδικα που αναπτύσσεται μέσα στην εταιρεία (in-house), αλλά είναι σημαντικό να διατηρείται ένας ενημερωμένος κατάλογος των εκδόσεων που χρησιμοποιούνται. Έχουμε πλέον δει αρκετές παραβιάσεις εξαιτίας των ευάλωτων συστατικών και εάν οι εταιρείες δεν αρχίσουν να λαμβάνουν σοβαρά υπόψη τους την απειλή αυτή, και να χρησιμοποιούν εργαλεία παρακολούθησης των συστατικών που χρησιμοποιούν, προβλέπω ότι το πρόβλημα θα ενταθεί.»
Η χρήση ευάλωτων συστατικών συγκαταλέγεται στις ανησυχητικές τάσεις για την ασφάλεια εφαρμογών που εξετάστηκαν στην Έκθεση για την Κατάσταση Ασφάλειας Λογισμικού (SoSS). Για παράδειγμα τα ευρήματα του SoSS της CA Veracode, δείχνουν ότι ενώ αρκετοί οργανισμοί δίνουν προτεραιότητα στη διόρθωση των πιο επικίνδυνων τρωτών σημείων, ορισμένοι εξακολουθούν να αντιμετωπίζουν δυσκολίες στην αποτελεσματική διόρθωση των προβλημάτων λογισμικού. Ακόμα και τα πιο σοβαρά ελαττώματα απαιτούν αρκετό χρόνο προκειμένου να διορθωθούν (μόνο 22 τοις εκατό των ιδιαίτερα σοβαρών ελαττωμάτων είχαν διορθωθεί σε 30 ημέρες ή λιγότερο) και οι περισσότεροι επιτιθέμενοι εκμεταλλεύονται τα ελαττώματα αυτά μέσα σε λίγες ημέρες από την ανακάλυψή τους. Οι hackers και οι εθνικοί κρατικοί οργανισμοί έχουν επαρκή χρόνο για να διεισδύσουν ενδεχομένως σε ένα επιχειρηματικό δίκτυο.
Επιπροσθέτως της πληροφορίας σχετικά με την απειλή που προκύπτει από τη χρήση των ευπαθών συστατικών, η έκθεση 2017 State of Software Security Report επίσης ανακάλυψε:
- Οι αδυναμίες συνεχίζουν να ανακύπτουν σε προηγουμένως μη δοκιμασμένο λογισμικό σε ανησυχητικούς ρυθμούς. Το 77 τοις εκατό των εφαρμογών έχουν τουλάχιστον μια ευπάθεια κατά την αρχική σάρωση.
- Οι κυβερνητικές οργανώσεις συνεχίζουν να υστερούν σε σχέση με τους άλλους κλάδους. Όχι μόνο είχαν ένα ποσοστό επιτυχίας 24,7 τοις εκατό κατά την τελευταία σάρωση, αλλά είχαν επίσης και το υψηλότερο ποσοστό επικράτησης εξαιρετικά εκμεταλλεύσιμων τρωτών σημείων όπως το cross-site scripting (49 τοις εκατό) και το SQL injection (32 τοις εκατό).
- Συγκριτικά, μεταξύ της πρώτης και της τελευταίας σάρωσης, η κρίσιμη υποδομή είχε το ισχυρότερο ποσοστό επιτυχίας OWASP (29,8 τοις εκατό) σε όλες τις βιομηχανίες που μελετήθηκαν, αν και παρατηρήθηκε μικρή μείωση στο ποσοστό επιτυχίας (29,5 τοις εκατό) στην τελευταία σάρωση. Οι δυο κλάδοι οι οποίοι παρουσιάζουν μικρές βελτιώσεις ανάμεσα στην πρώτη και την τελευταία σάρωση ήταν αυτός της Υγείας (27,6 τοις εκατό σε σύγκριση με 30,2 τοις εκατό) και του Λιανεμπορίου και Φιλοξενίας (26,2 τοις εκατό σε σύγκριση με 28,5 τοις εκατό).