Skip to main content
Hermes Banner 1
DIGITALTV 197
ilka aggelia
securityreport e mag odhgos 2021
12 Ιουνίου 2020 10:16

Αύξηση των ευπαθειών σε λογισμικά ανοιχτού κώδικα

Γράφει: Χάρης Ματθαίου
20b7ba75568e4e355d095ed406e5de33 XL 9f2ec064

Ο αριθμός των ευπαθειών σε λογισμικά ανοιχτού κώδικα που είναι γνωστά διεθνώς ως OSS (Open Source Software), υπερδιπλασιάστηκε το 2019 σε σύγκριση με το 2018.

Ο αριθμός των ευπαθειών σε λογισμικά ανοιχτού κώδικα που είναι γνωστά διεθνώς ως OSS (Open Source Software), υπερδιπλασιάστηκε το 2019 σε σύγκριση με το 2018. Ενδεικτική καταγραφή της κατάστασης αυτής αποτελεί η έκθεση της αμερικάνικης εταιρείας RiskSense, η οποία εδρεύει στο New Mexico των ΗΠΑ και  παρέχει διαχείριση ευπάθειας και μέτρηση του κινδύνου ασφάλειας στον κυβερνοχώρο.

Σύμφωνα με την έκθεση της RiskSense, το σύνολο των κοινών ευπαθειών και εκτιθέμενων σημείων που αναφέρονται ως CVEs (Common Vulnerabilities and Exposures) έφτασε τον αριθμό των 968 πέρυσι, από 421 το 2018, σημειώνοντας αύξηση κατά 130%. Τα CVEs παρέμειναν σε ιστορικά υψηλά επίπεδα και τους τρεις πρώτους μήνες του 2020, γεγονός που υποδηλώνει ότι πρόκειται για μια μακροπρόθεσμη τάση. Η έκθεση αποκαλύπτει επίσης ότι μετά τη δημόσια αποκάλυψή τους, οι ευπάθειες των OSS χρειάζονται κατά μέσο όρο 54 ημέρες για να προστεθούν στην Εθνική Βάση Δεδομένων Ευπάθειας NVD (National Vulnerability Database), η οποία αποτελεί το αποθετήριο δεδομένων διαχείρισης ευπάθειας της αμερικάνικης κυβέρνησης. Η καθυστέρηση αυτή σημαίνει ότι οι οργανισμοί εκτίθενται συχνά σε σοβαρούς κινδύνους ασφαλείας εφαρμογών για περίπου δύο μήνες. Καθυστερήσεις παρατηρήθηκαν σε όλες τις σοβαρές ευπάθειες, συμπεριλαμβανομένων εκείνων που χαρακτηρίζονται ως «κρίσιμες» και αυτών που μετατρέπονται σε επικίνδυνα όπλα. Τα OSS που είχαν τα περισσότερα τρωτά σημεία CVEs ήταν ο διακομιστής αυτοματισμού Jenkins (646) και το σύστημα διαχείρισης βάσεων δεδομένων MySQL (624), καθένα από τα οποία είχε 15 επικίνδυνα οπλισμένες ευπάθειες. Επίσης, το Vagrant του HashiCorp που είναι ένα εργαλείο για τη δημιουργία και τη συντήρηση φορητών εικονικών περιβαλλόντων ανάπτυξης λογισμικού, είχε μόνο 9 CVEs, αλλά πολύ υψηλό αριθμό (6) οπλισμένων ευπαθειών. Άλλα OSS που βρέθηκαν με ευπάθειες οι οποίες τα καθιστούν εξαιρετικά ευάλωτα σε επιθέσεις, ήταν το Apache Tomcat που αποτελεί υλοποίηση τεχνολογιών Java, η πλατφόρμα ηλεκτρονικού εμπορίου Magneto, η αυτοματοποιημένη πλατφόρμα ανάπτυξης, κλιμάκωσης και διαχείρισης εφαρμογών Kubernetes, η μηχανή αναζήτησης πραγματικού χρόνου και ανάλυσης δεδομένων Elasticsearch και η πλατφόρμα εκτέλεσης εφαρμογών Java, JBoss. Οι αδυναμίες στη δημιουργία σεναρίων μεταξύ διασταυρούμενων ιστότοπων ήταν η δεύτερη πιο κοινή μορφή ευπαθειών, που αποτελούσαν και τις πιο επικίνδυνα οπλισμένες, ενώ τα ζητήματα που αφορούσαν επικύρωση εισόδου ήταν η τρίτη πιο κοινή και η δεύτερη πιο επικίνδυνη ευπάθεια. Επιπλέον, η μελέτη έδειξε ότι ορισμένες άλλες αδυναμίες, όπως ζητήματα απο-σειριοποίησης (28) και εγχύσεις κώδικα (16) ήταν πολύ λιγότερο συχνές, παραμένοντας όμως ιδιαίτερα δημοφιλείς σε ενεργές εκστρατείες επιθέσεων.

Τοποθετούμενος σχετικά με τα συμπεράσματα της έρευνας, ο Διευθύνων Σύμβουλος της RiskSense, Srinivas Mukkamala, εξήγησε χαρακτηριστικά ότι παρόλο που ο ανοιχτός κώδικας θεωρείται συχνά πιο ασφαλής από το εμπορικό λογισμικό, καθώς υποβάλλεται σε αναθεωρήσεις πολλών πηγών για να μπορεί να εντοπίζει προβλήματα, η μελέτη αυτή μας δείχνει ότι οι ευπάθειες στα λογισμικά ανοιχτού κώδικα αυξάνονται και θα μπορούσαν να οδηγήσουν σε αδιέξοδο πολλούς από τους υπάρχοντες οργανισμούς. Δεδομένου μάλιστα ότι ο ανοιχτός κώδικας χρησιμοποιείται και επαναχρησιμοποιείται παντού σήμερα, κάθε φορά που θα εντοπίζονται ευπάθειες είναι πιθανό να προκαλούνται ζητήματα που θα έχουν απίστευτα εκτεταμένες συνέπειες.  

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Φεβρουάριος 2025
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Φεβρουαρίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμ...
Security TOP 50
Η προστασία εταιρειών, επιχειρήσεων και φυσικά, της ανθρώπινης ζωής είναι κρίσιμης σημασίας γι’ αυτό και οι εταιρείες που ασχολούνται με την ανάπτυξη, παραγωγή και προσφορά φυσικών, τεχνολογικών κ...
Εμπιστευτείτε την TexDesigns ως τον κατάλληλο συνεργάτη σας
Με τις τεχνολογικές εξελίξεις στον τομέα της ασφάλειας συνεχώς να αλλάζουν, η επιλογή μιας έμπειρης και τεχνολογικά καταρτισμένης εταιρείας παροχής συστημάτων ασφαλείας, είναι ζωτικής σημασίας για...
Πάνω από 62.000 κάμερες ασφαλείας τοποθετήθηκαν στην Μπανγκόκ το 2022-2023
Σύμφωνα με τα τελευταία ευρήματα της 6Wresearch, η κυβέρνηση της Ταϊλάνδης σχεδιάζει να εγκαταστήσει ακόμα περισσότερες κάμερες παρακολούθησης βίντεο προκειμένου να μειώσει το ποσοστό εγκληματικότ...