GrammaTech, ein Anbieter von Tools zur Absicherung der Software-Anwendungssicherheit, hat die Ergebnisse einer gemeinsam mit Osterman Research durchgeführten Studie zum Stand der Sicherheit in Software-Lieferketten veröffentlicht. Der Bericht ergab, dass 100 % der getesteten kommerziellen Standardanwendungen (commercial off-the-shelf/COTS) Open-Source-Komponenten mit Sicherheitsschwachstellen enthielten.
85 % davon waren kritisch. Von den am häufigsten getesteten Browser-, E-Mail-, Dateifreigabe-/Cloud-Speicher-
„Kommerzielle Standard-Softwarelösungen enthalten oft Open-Source-Komponenten. Viele davon weisen eine Reihe von bekannten Schwachstellen auf, die von Malware ausgenutzt werden können. Doch die Anbieter geben deren Vorhandensein oft nicht bekannt“, sagt Michael Sampson, Senior Analyst bei Osterman Research. „Dieser Mangel an Transparenz rund um eingesetzte und noch einzusetzende Anwendungen ist im Grunde eine Zeitbombe, die das Sicherheitsrisiko eines Unternehmens, die Angriffsfläche und das Potenzial für eine Kompromittierung durch Cyberkriminelle erhöht.“
Im Rahmen der Studie wurden weit verbreitete, clientbasierte COTS-Softwareprodukte in fünf Kategorien (Webbrowser, E-Mail, Dateifreigabe/Cloud-Speicher, Online-Meetings und Messaging) daraufhin untersucht, ob sie Open-Source-Komponenten enthalten und ob sie Sicherheitslücken aufweisen.
Einige der wichtigsten Ergebnisse waren:
Lösungen für Online-Meetings und E-Mail am anfälligsten
Anwendungen in den Kategorien Online-Meetings sowie E-Mail-Clients wiesen die höchste durchschnittliche Gewichtung der Schwachstellen auf. Angesichts der weit verbreiteten Nutzung dieser Tools sollten Unternehmen und Organisationen den Fokus darauf richten, ihre Angriffsfläche für Sicherheitsrisiken und das Potenzial für eine Kompromittierung besser zu verstehen.
Open-Source-Komponenten sind weit verbreitet
Ausnahmslos alle analysierten Anwendungen enthielten Open-Source-Komponenten. Im Durchschnitt enthielten dabei 30 % dieser Open-Source-Komponenten mindestens eine Schwachstelle oder Sicherheitslücke, der eine CVE-Kennung zugewiesen wurde.
Komponenten mit kritischen Sicherheitslücken werden häufig verwendet
Mit Ausnahme von drei Anwendungen enthielten alle in der Studie untersuchten Lösungen mindestens eine kritische Schwachstelle mit dem höchstmöglichen CVSS-Wert (10,0). Die nahezu allgegenwärtige Verwendung solcher hochgradig anfälligen Komponenten macht Vergleiche zwischen Anwendungen auf dieser Grundlage bedeutungslos, da alle Anwendungen als anfällig einzustufen sind.
Neuere Versionen der Komponenten sind nicht zwangsläufig sicherer
Mehrere Komponenten waren in den getesteten Anwendungen in unterschiedlichen Versionen vorhanden. Aber: Neuere Versionen waren dabei nicht immer sicherer, weder gemessen an der Anzahl der verwendeten angreifbaren Komponenten noch hinsichtlich der gewichteten Anzahl der Schwachstellen in jeder Komponente.
Komponenten mit den höchsten Risiken
Von den Komponenten, die in den analysierten Anwendungen identifiziert wurden, waren zwei Versionen der Open-Source-Komponente von Firefox (nicht der Browser selbst) für 75,8 % aller CVEs verantwortlich. An zweiter Stelle standen 16 Versionen von openssl, die zusammen 9,6 % der CVEs aufwiesen, sowie zwei Versionen von libav, die 8,3 % der CVEs ausmachten.
„Die meisten Unternehmen vertrauen darauf, dass Hersteller ihre Software frei von Mängeln halten. Wie die Analyse zeigt, müssen Unternehmen allerdings ihre eigene Qualitätskontrolle durchführen, um die Sicherheit der gekauften Software zu überprüfen“, sagt Vince Arneja, Chief Product Officer bei GrammaTech. „Die Pflege einer aktuellen Software-Stückliste, in der die Softwarekomponenten und die damit verbundenen Schwachstellen detailliert aufgeführt sind, ist der erste Schritt, um Sicherheitsschwachstellen in kommerziellen Softwareanwendungen sowohl vor als auch nach der Implementierung zu verstehen und zu entschärfen.“
www.grammatech.com