Defectos encontrados en algunos proyectos de código abierto explotados …


Un estudio de los principales proyectos de código abierto encuentra que el 3.3% de las vulnerabilidades son explotadas, pero la tasa de explotación varía significativamente.

Las vulnerabilidades en los principales proyectos de código abierto no se convierten comúnmente en ataques, solo el 3.3% están «armadas», pero al menos uno de cada 10 defectos de software encontrados en los proyectos más específicos ha tenido esas debilidades convertidas en código de explotación, según un análisis de 54 importantes proyectos de código abierto publicados por la firma de seguridad RiskSense el lunes.

La investigación utilizó datos sobre 2,694 vulnerabilidades en los 54 proyectos de código abierto, analizando qué problemas habían publicado el código de explotación. De las 89 vulnerabilidades armadas, o el 3.3% del whole, solo 18 permitieron la ejecución remota de código. Seis se están utilizando actualmente en campañas de ataque activo, dijo RiskSense en el informe.

«Nuestros datos muestran que las vulnerabilidades de OSS son una parte creciente y cada vez más crítica de la superficie de ataque de una organización», dice Srinivas Mukkamala, CEO de RiskSense. «La gestión de vulnerabilidades en esos proyectos puede requerir cierta atención adicional tanto de los desarrolladores como del own de seguridad y TI».

los investigación sugiere que las empresas primero deben preocuparse por las vulnerabilidades más riesgosas, aquellas que ya han publicado código de explotación. Además, algunas bibliotecas de código abierto, como Vagrant, Artifactory, Chef y JBOSS, deberían tener prioridad en la aplicación de parches porque las vulnerabilidades en esos proyectos tienden a explotarse con más frecuencia.

Vagabundo, por ejemplo, es el proyecto con la tasa más alta de armamento por sus vulnerabilidades: de nueve problemas descubiertos en los últimos cinco años, seis han sido explotados, con una tasa de armamento del 67%, dijo RiskSense. Diez de los 54 proyectos: Vagrant, Alfresco, Artifactory, Chef, Kaltura, SVN, Ansible, Redis, LifeRay Portal y Odoo, tenían tasas de armamento del 10% o más.

«Vale la pena señalar y monitorear las tasas de armamento en el futuro, ya que las organizaciones deben conocer su program que es más probable que sea armado», afirmó RiskSense en su informe.

El informe RiskSense no es el primero en subrayar los riesgos que los desarrolladores han aceptado, tal vez sin saberlo, cuando utilizan componentes de código abierto para crear application. En mayo, por ejemplo, la firma de seguridad de aplicaciones Veracode reveló que los componentes de código abierto antiguos o sin parchar dejaron el 71% del program de los clientes abierto a ataques.

La variabilidad en la terminología y los esquemas de nombres también hace que las organizaciones que usan proyectos de código abierto tengan más probabilidades de perder componentes vulnerables, según un estudio realizado por la Fundación Linux y el Laboratorio de Ciencia de la Innovación en la Universidad de Harvard, que también confirmó el vínculo entre el software package anterior y mayor vulnerabilidad

Los propios proyectos de código abierto a menudo son atacados por atacantes. En mayo, GitHub reveló que más de dos docenas de proyectos de código abierto estaban sirviendo código malicioso después de que un ataque comprometió los sistemas de los desarrolladores y reemplazó los objetos de código creados con NetBeans IDE con versiones troyanizadas.

«En un contexto de OSS (computer software de código abierto), le da al malware un medio efectivo de transmisión ya que los proyectos afectados probablemente serán clonados, bifurcados y utilizados en muchos sistemas potencialmente diferentes», Álvaro Muñoz, investigador de seguridad de GitHub Protection Laboratorio, dicho en una publicación de blog. «Los artefactos reales de estas compilaciones pueden extenderse aún más de una manera que está desconectada del proceso de compilación primary y más difícil de localizar después del hecho».

Si bien el número total de vulnerabilidades en los principales proyectos estudiados por RiskSense aumentó en 2019, en comparación con otros años, el número de fallas de program armado se mantuvo bastante nivelado, con menos de dos docenas de vulnerabilidades para vulnerabilidades publicadas en un año determinado.

El número de vulnerabilidades reveladas para un proyecto specific varió enormemente. El proyecto de comercio electrónico Magento, por ejemplo, no tenía vulnerabilidades publicadas en 2018, pero 137 se revelaron en 2019, según el informe. La variabilidad en el número de vulnerabilidades encontradas en diferentes proyectos se debe a una variedad de factores, dice Mukkamala.

«Algunas vulnerabilidades son naturalmente más fáciles o más difíciles de explotar, y … ciertos tipos de debilidades son más propensas a tener vulnerabilidades asociadas», dice. «Por lo tanto, a menudo se reduce al valor de la aplicación de destino, el valor del exploit en sí mismo y lo difícil que es desarrollarlo».

El informe también encontró un retraso significativo entre el día en que se informa una vulnerabilidad y cuando los problemas se documentan en la Foundation de datos de vulnerabilidad nacional, o NVD. En promedio, el NVD no publicó información sobre una vulnerabilidad hasta 54 días después de su divulgación.

La clase más común de vulnerabilidad armada ha sido los problemas de scripting entre sitios (XSS) con 11 vulnerabilidades explotadas en los 54 proyectos, con la validación de entrada incorrecta en segundo lugar con nueve problemas armados, y el control de acceso incorrecto que explica siete fallas explotadas.

«En los peores casos, XSS puede dar a un atacante el regulate de un sitio, por lo que puede ser muy impactante», dice Mukkamala. «Pero ciertamente no todos los XSS entran en esta categoría … En el otro extremo del espectro, solo teníamos una vulnerabilidad de contenedorización, pero era tendencia en la naturaleza».

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Examining, MIT&#39s Know-how Assessment, Well-known Science y Wired Information. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia authentic