Cómo las vulnerabilidades de program de código abierto crean riesgos para las organizaciones


Las fallas de seguridad en el software program de código abierto han aumentado y puede tomar mucho tiempo agregarse a la Foundation de datos de vulnerabilidad nacional, dice RiskSense.

top-projects-cves-risksense.jpg

Imagen: RiskSense

El software de código abierto ofrece ciertos beneficios sobre los productos comerciales. Como el código fuente está disponible públicamente, los desarrolladores pueden modificar y modificar las aplicaciones OSS para mejorar sus capacidades. Además, la gran cantidad de personas que usan estos programas sirven como una forma de crowdsourcing para probar su confiabilidad y seguridad. Sin embargo, eso no significa que las aplicaciones OSS sean inmunes a fallas y vulnerabilidades.

VER: Ataques de inyección SQL: una hoja de trucos para profesionales de negocios (TechRepublic High quality)

De hecho, cuando surge un agujero de seguridad en un producto de código abierto, el daño se puede sentir ampliamente en todos los usos y reutilizaciones del código fuente. Un informe publicado el lunes por la firma de gestión de vulnerabilidades RiskSense explain el impacto de las vulnerabilidades de seguridad en OSS.

Para su informe «La oscura realidad del código abierto, «RiskSense descubrió que el número full de CVE (vulnerabilidades y exposiciones comunes) en OSS está en aumento, más del doble a 968 en 2019 de 421 en 2018 y 435 en 2017. El aumento no parece ser una anomalía como El número de nuevas CVE se ha mantenido en un nivel alto (178) durante los primeros tres meses de 2020.

Además, las vulnerabilidades de OSS a menudo tardan mucho tiempo en agregarse a Base de datos de vulnerabilidad nacional de EE. UU. (NVD), un recurso valioso para obtener información sobre fallas de seguridad. RiskSense descubrió que el tiempo promedio entre la divulgación pública de una vulnerabilidad y su inclusión en el NVD fue de 54 días. Un overall de 119 CVE tuvieron tiempos de retraso de más de un año, mientras que casi una cuarta parte tuvieron tiempos de retraso de más de un mes. El tiempo de retraso más largo visto fue de 1,817 días para una vulnerabilidad crítica de PostgreSQL.

Los retrasos se observaron en todas las severidades de las vulnerabilidades, con vulnerabilidades críticas que tienen algunos de los tiempos de retraso promedio más largos, según el informe. Las largas esperas crean un riesgo para las organizaciones y usuarios que confían en el NVD como fuente principal de datos sobre errores de seguridad.

Algunas aplicaciones de OSS están plagadas de más vulnerabilidades que otras. los Servidor de automatización de código abierto Jenkins tuvo la mayor cantidad de CVE con 646, mientras que MySQL quedó en segundo lugar con 624. Estos dos productos OSS empataron con las vulnerabilidades más armadas (las explotadas en la naturaleza) con 15 cada una. Vagabundo de HashiCorp solo tenía nueve CVE, pero seis de ellas estaban armadas. Los productos OSS como Apache Tomcat, Magento, Kubernetes, Elasticsearch y JBoss tenían fallas de seguridad que eran populares en los ataques del mundo authentic.

Entre las vulnerabilidades encontradas en OSS, las secuencias de comandos entre sitios (XSS) y la validación de entrada se encontraban entre las más comunes y las más armadas. Los problemas de XSS fueron los segundos más comunes pero los más armados, mientras que los problemas de validación de entrada fueron los terceros más comunes y los segundos más armados. Otras vulnerabilidades que eran mucho menos comunes pero aún populares en los ataques cibernéticos fueron los problemas de deserialización (28 CVE), la inyección de código (16 CVE), los problemas de manejo de errores (2 CVE) y los errores de contenedor (1 CVE).

top-weaponized-cves-risksense.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/06/08/12b57fd2-2922-41eb-a131-d7ec2608d275/resize/770x/81a22fbcb0a2b208edfd75a518488 /top-weaponized-cves-risksense.jpg

Imagen: RiskSense

En el lado positivo, de las 978 vulnerabilidades vistas en 2019, solo 15, o 1.5%, fueron armadas. Y entre las 2,694 vulnerabilidades totales que RiskSense rastreó en los últimos cinco años desde 2015 hasta los primeros tres meses de 2020, solo 89, o 3.3%, de ellas fueron armadas. Aún así, las vulnerabilidades de OSS pueden ser un «punto ciego» para muchas organizaciones que pueden no ser conscientes de todos los proyectos de código abierto y las dependencias que se encuentran en las aplicaciones que utilizan.

«Si bien el código fuente abierto a menudo se considera más seguro que el software comercial, ya que se somete a revisiones de crowdsourcing para encontrar problemas, este estudio ilustra que las vulnerabilidades de OSS están en aumento y pueden ser un punto ciego para muchas organizaciones», dijo el CEO de RiskSense, Srinivas Mukkamala, en un comunicado. presione soltar. «Dado que el código abierto se usa y se reutiliza en todas partes hoy en día, cuando se encuentran vulnerabilidades, pueden tener consecuencias increíblemente amplias».

Ver también



Enlace a la noticia authentic