Skip to main content
Hermes Banner 1
DIGITALTV 195
ilka aggelia
securityreport e mag odhgos 2021
12 Ιουνίου 2020 10:16

Αύξηση των ευπαθειών σε λογισμικά ανοιχτού κώδικα

Γράφει: Χάρης Ματθαίου
admin ajax.php?action=kernel&p=image&src=%7B%22file%22%3A%22wp content%2Fuploads%2F2022%2F05%2F20b7ba75568e4e355d095ed406e5de33 XL

Ο αριθμός των ευπαθειών σε λογισμικά ανοιχτού κώδικα που είναι γνωστά διεθνώς ως OSS (Open Source Software), υπερδιπλασιάστηκε το 2019 σε σύγκριση με το 2018.

Ο αριθμός των ευπαθειών σε λογισμικά ανοιχτού κώδικα που είναι γνωστά διεθνώς ως OSS (Open Source Software), υπερδιπλασιάστηκε το 2019 σε σύγκριση με το 2018. Ενδεικτική καταγραφή της κατάστασης αυτής αποτελεί η έκθεση της αμερικάνικης εταιρείας RiskSense, η οποία εδρεύει στο New Mexico των ΗΠΑ και  παρέχει διαχείριση ευπάθειας και μέτρηση του κινδύνου ασφάλειας στον κυβερνοχώρο.

Σύμφωνα με την έκθεση της RiskSense, το σύνολο των κοινών ευπαθειών και εκτιθέμενων σημείων που αναφέρονται ως CVEs (Common Vulnerabilities and Exposures) έφτασε τον αριθμό των 968 πέρυσι, από 421 το 2018, σημειώνοντας αύξηση κατά 130%. Τα CVEs παρέμειναν σε ιστορικά υψηλά επίπεδα και τους τρεις πρώτους μήνες του 2020, γεγονός που υποδηλώνει ότι πρόκειται για μια μακροπρόθεσμη τάση. Η έκθεση αποκαλύπτει επίσης ότι μετά τη δημόσια αποκάλυψή τους, οι ευπάθειες των OSS χρειάζονται κατά μέσο όρο 54 ημέρες για να προστεθούν στην Εθνική Βάση Δεδομένων Ευπάθειας NVD (National Vulnerability Database), η οποία αποτελεί το αποθετήριο δεδομένων διαχείρισης ευπάθειας της αμερικάνικης κυβέρνησης. Η καθυστέρηση αυτή σημαίνει ότι οι οργανισμοί εκτίθενται συχνά σε σοβαρούς κινδύνους ασφαλείας εφαρμογών για περίπου δύο μήνες. Καθυστερήσεις παρατηρήθηκαν σε όλες τις σοβαρές ευπάθειες, συμπεριλαμβανομένων εκείνων που χαρακτηρίζονται ως «κρίσιμες» και αυτών που μετατρέπονται σε επικίνδυνα όπλα. Τα OSS που είχαν τα περισσότερα τρωτά σημεία CVEs ήταν ο διακομιστής αυτοματισμού Jenkins (646) και το σύστημα διαχείρισης βάσεων δεδομένων MySQL (624), καθένα από τα οποία είχε 15 επικίνδυνα οπλισμένες ευπάθειες. Επίσης, το Vagrant του HashiCorp που είναι ένα εργαλείο για τη δημιουργία και τη συντήρηση φορητών εικονικών περιβαλλόντων ανάπτυξης λογισμικού, είχε μόνο 9 CVEs, αλλά πολύ υψηλό αριθμό (6) οπλισμένων ευπαθειών. Άλλα OSS που βρέθηκαν με ευπάθειες οι οποίες τα καθιστούν εξαιρετικά ευάλωτα σε επιθέσεις, ήταν το Apache Tomcat που αποτελεί υλοποίηση τεχνολογιών Java, η πλατφόρμα ηλεκτρονικού εμπορίου Magneto, η αυτοματοποιημένη πλατφόρμα ανάπτυξης, κλιμάκωσης και διαχείρισης εφαρμογών Kubernetes, η μηχανή αναζήτησης πραγματικού χρόνου και ανάλυσης δεδομένων Elasticsearch και η πλατφόρμα εκτέλεσης εφαρμογών Java, JBoss. Οι αδυναμίες στη δημιουργία σεναρίων μεταξύ διασταυρούμενων ιστότοπων ήταν η δεύτερη πιο κοινή μορφή ευπαθειών, που αποτελούσαν και τις πιο επικίνδυνα οπλισμένες, ενώ τα ζητήματα που αφορούσαν επικύρωση εισόδου ήταν η τρίτη πιο κοινή και η δεύτερη πιο επικίνδυνη ευπάθεια. Επιπλέον, η μελέτη έδειξε ότι ορισμένες άλλες αδυναμίες, όπως ζητήματα απο-σειριοποίησης (28) και εγχύσεις κώδικα (16) ήταν πολύ λιγότερο συχνές, παραμένοντας όμως ιδιαίτερα δημοφιλείς σε ενεργές εκστρατείες επιθέσεων.

Τοποθετούμενος σχετικά με τα συμπεράσματα της έρευνας, ο Διευθύνων Σύμβουλος της RiskSense, Srinivas Mukkamala, εξήγησε χαρακτηριστικά ότι παρόλο που ο ανοιχτός κώδικας θεωρείται συχνά πιο ασφαλής από το εμπορικό λογισμικό, καθώς υποβάλλεται σε αναθεωρήσεις πολλών πηγών για να μπορεί να εντοπίζει προβλήματα, η μελέτη αυτή μας δείχνει ότι οι ευπάθειες στα λογισμικά ανοιχτού κώδικα αυξάνονται και θα μπορούσαν να οδηγήσουν σε αδιέξοδο πολλούς από τους υπάρχοντες οργανισμούς. Δεδομένου μάλιστα ότι ο ανοιχτός κώδικας χρησιμοποιείται και επαναχρησιμοποιείται παντού σήμερα, κάθε φορά που θα εντοπίζονται ευπάθειες είναι πιθανό να προκαλούνται ζητήματα που θα έχουν απίστευτα εκτεταμένες συνέπειες.  

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Δεκέμβριος 2024
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Δεκεμβρίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμέ...
Creta Electronix 2024
Με επιτυχία ολοκληρώθηκε το κλαδικό τριήμερο της Creta Electronix 2024! Η τοπική αγορά υποδέχθηκε για ακόμη μία φορά με ενθουσιασμό τη διοργάνωση της Libra Press και έδειξε έντονο ενδιαφέρον για τ...
Dahua Cloud
Η Dahua Technology αναβάθμισε πρόσφατα την ολοκληρωμένη και αποτελεσματική λύση δικτύου της Dahua Cloud. Η δικτυακή λύση Dahua Cloud είναι μια ολοκληρωμένη, γρήγορη, αποτελεσματική και ασφαλής υπη...
G.I. Security X RISCO
Το Security Report παρακολούθησε το τεχνικό σεμινάριο που διοργάνωσε η G.I. Security για να παρουσιάσει τα νέα συστήματα ασφαλείας και αυτοματισμού της RISCO. Την Παρασκευή, 18 Οκτωβρίου στον μ...
Συστήματα συναγερμού
Στην επίσημη ιστοσελίδα της ελληνικής αστυνομίας διαβάζουμε τα κριτήρια για την έκδοση αδείας σύνδεσης ή ανανέωσης συστημάτων συναγερμού με αστυνομικές υπηρεσίες. Η άδεια σύνδεσης ή ανανέωσης σ...
Uniview IP Video Intercom
H Uniview εισέρχεται δυναμικά και στον τομέα του IP Video Intercom, διαθέτοντας αρχικά συστήματα για απλές εφαρμογές, ενώ το επόμενο διάστημα θα παρουσιάσει πληθώρα μοντέλων και λύσεων, ικανών να ...
ELDES EWP-EXT, EWC1 & EWC1A
Εξαιρετικά χρήσιμοι για τη βελτίωση της ασφάλειας σπιτιών και επιχειρήσεων, οι αισθητήρες εξωτερικού χώρου της ELDES προσφέρουν προηγμένη ανίχνευση και άμεση ενημέρωση για κάθε ύποπτη κίνηση ή δρα...