Eine tiefgreifende Analyse der Schwachstellen, die für DevSecOps-Teams und Verantwortliche für Cybersicherheit von großer Bedeutung sind und ein Ausblick in die Trends für 2023.
Das Security Research Team von JFrog hat es sich zur Aufgabe gemacht, die Auswirkungen von Schwachstellen auf Software-Artefakte, die tatsächlich in den heutigen FORTUNE 100 Unternehmen verwendet werden, detailliert zu beschreiben. Daher haben die Sicherheitsforscher die erste Ausgabe des jährlichen JFrog Critical Vulnerability Exposures (CVEs) Reports zusammengestellt, der eine tiefgreifende Analyse der 10 wichtigsten Schwachstellen des Jahres 2022, ihres „wahren“ Schweregrades und der Best Practices zur Minderung der potenziellen Auswirkungen jeder einzelnen Schwachstelle enthält.
Die untersuchten Schwachstellen sind nach der Anzahl der von ihnen betroffenen Softwareartefakte von hoch bis niedrig sortiert, zudem werden folgende Aspekte beleuchtet:
- Auswirkungsanalyse – Zusammenfassung der Auswirkungen der Sicherheitslücke in der Praxis
- Technische Details zur Schwachstelle – Eine ausführliche Beschreibung der Schwachstelle, ihrer Angriffsvektoren und ihres Schweregrads, ohne in den anfälligen Quellcode einzutauchen
- Kontextanalyse – Wie man feststellen kann, ob das CVE in ihrer jeweiligen Umgebung ausnutzbar ist
- Optionen zur Behebung/Abschwächung – Wie man die Auswirkungen der Schwachstelle abschwächen kann, auch ohne zwingend die betroffene Komponente zu aktualisieren
- Detaillierte Angaben zur Schwachstelle – Für ausgewählte Schwachstellen wird eine zusätzliche technische Analyse der Schwachstelle mit Hilfe von Kommentaren zum anfälligen Quellcode durchgeführt
- Trendanalyse – Für ausgewählte Schwachstellen wird die Anzahl der CVEs aus den vergangenen Jahren genannt, die diese Komponente betrafen; es erfolgt auch eine Prognose für die Anzahl der CVEs, die für die Komponente im Jahr 2023 zu erwarten sind
Methodik
Als zertifizierter CNA (CVE Numbering Authority) überwacht und untersucht das JFrog Security Research Team regelmäßig neue Schwachstellen, um deren wahren Schweregrad zu verstehen und veröffentlicht diese Informationen zum Nutzen der Open-Source Community. Dieser Bericht basiert auf einer Auswahl der im Kalenderjahr 2022 am häufigsten entdeckten Schwachstellen über anonyme Nutzungsstatistiken der Plattform.
Wichtigste Erkenntnisse
Die meisten der aufgeführten Schwachstellen waren nicht so leicht auszunutzen, wie von öffentlichen Quellen berichtet, und verdienen daher nicht die hohe NVD-Schweregradeinstufung. Eine weitere Analyse der einzelnen CVEs ergab, dass viele von ihnen komplexe Konfigurationen oder spezifische Bedingungen erfordern, unter denen ein Angriff erfolgreich ausgeführt werden kann. Dies unterstreicht, wie wichtig es ist, bei der Bewertung der Auswirkungen von CVEs den Kontext zu berücksichtigen, in dem die Software eingesetzt und genutzt wird.
Bei den CVEs, die am häufigsten in Unternehmen auftreten, handelt es sich um Probleme mit geringem Schweregrad, die nie behoben wurden. Die Betreuer großer Projekte wie beispielsweise Debian und Red Hat sollten ihre eigene Analyse durchführen, um zu verstehen, ob ein CVE ihr Projekt betrifft und wie es behoben werden kann. Oft entdecken diese Betreuer ein CVE, welches entweder ihr Projekt nicht betrifft oder nicht sehr schwerwiegend ist, entschließen sich allerdings dazu, das Problem nicht zu beheben. Diese ungelösten CVE-Probleme wirken sich in der Folge auf viele Systeme aus, und die Zahl der betroffenen Systeme wird mit der Zeit immer größer, da sich niemand um die Behebung dieser Sicherheitslücken kümmert. Erschwerend für die Sicherheitsteams kommt hinzu, dass die Bedrohung durch CVEs irreführend sein kann, wenn die CVSS-Einstufung hoch ist, aber die Auswirkungen in der Realität vernachlässigbar sind und sie deshalb oft ignoriert werden.
Die Diskrepanz zwischen den öffentlichen Schweregrad-Einstufungen und den Schweregrad-Einschätzungen von JFrog Security Research wird deutlich, wenn man die 50 wichtigsten CVEs des Jahres 2022 vergleicht. In den meisten Fällen ist die CVE-Schweregradbewertung von JFrog Security Research niedriger als die NVD-Schweregradbewertung, was bedeutet, dass diese Schwachstellen oft überbewertet werden. Tatsächlich erhielten 64% der Top 50 CVEs eine niedrigere JFrog Security Research-Schweregradbewertung, während 90% einen niedrigeren oder gleichen Schweregrad erhielten.
Fazit
Der Bericht ermöglicht Entwicklern, DevOps-Ingenieuren, Sicherheitsforschern und Verantwortlichen für Cybersecurity einen aktuellen und tiefgreifenden Einblick in die Sicherheitsschwachstellen, die enorme Risiken für die Software-Lieferketten bedeuten. Die bereitgestellten Informationen helfen Sicherheitsteams dabei, fundiertere Entscheidungen darüber zu treffen, wie Gegenmaßnahmen sinnvoll priorisiert werden können. So können die potenziellen Auswirkungen bekannter Software-Schwachstellen abgefedert werden und die Sicherheit der Produkte und Dienstleistungen gewährleistet werden.
Weitere Informationen:
Die komplette Untersuchung des JFrog Security Research Teams finden Sie hier.
jfrog.com