Согласно исследованию, 85% коммерческих программных приложений имеют «критические» уязвимости

Согласно исследованию, 85% коммерческих программных приложений имеют «критические» уязвимости

Источник · Перевод автора

Практически каждое предприятие использует коммерческое программное обеспечение для повседневной работы, от встреч и обмена файлами до приложений для электронной почты и обмена сообщениями. Но что находится внутри этих приложений и насколько они на самом деле безопасны, не всегда ясно. В новом отчете Osterman Research говорится, что уязвимости распространены среди распространенных программных продуктов в результате включения компонентов с открытым исходным кодом, которые часто остаются незамеченными или нераскрытыми.

По данным расследования, 100% протестированных готовых коммерческих приложений содержали компоненты с открытым исходным кодом с уязвимостями безопасности. Что еще хуже, по крайней мере 85% имели хотя бы одну уязвимость, которую фирма считала “критической”. Согласно отчету, многие такие уязвимости известны, но недостаточная осведомленность об их использовании в коммерчески доступном программном обеспечении «увеличивает риск безопасности, поверхность атаки и возможность взлома киберпреступниками».

Майкл Сэмпсон (Michael Sampson), старший аналитик Osterman Research, сказал VentureBeat, что был удивлен, обнаружив, насколько часто коммерческое программное обеспечение включает уязвимости, которые оцениваются как высокие или критические в системе оценки, использованной в исследовании. «Вызывает тревогу то, что поставщики намеренно выпускают код, который подвергает их клиентов опасности», – сказал он.

Приложения для встреч и электронной почты наиболее уязвимы

Исследование было сосредоточено на пяти категориях программного обеспечения: веб-браузеры, электронная почта, обмен сообщениями, обмен файлами и клиенты для онлайн-встреч. GrammaTech спонсировала исследование, и Остерман воспользовался своим продуктом CodeSentry, чтобы проверить наличие компонентов с открытым исходным кодом в двоичной упаковке широко используемых программных приложений. В отчете не описывается, насколько уязвимы конкретные программные продукты, а рассматривается безопасность компонентов с открытым исходным кодом и категорий в целом.

В целом исследование показало, что клиенты для встреч и электронной почты являются наиболее уязвимыми. Категория собраний в целом имела наивысший вес уязвимостей, что вызывает особую озабоченность, поскольку инструменты видеоконференцсвязи остаются основным способом подключения, поскольку пандемия продолжает влиять на мир. Этот вывод также последовал за недавними новостями о компании Zoom, которая имеет почти 60 компонентов с открытым исходным кодом на своей платформе и только что согласилась заплатить 85 миллионов долларов, чтобы урегулировать судебный процесс по поводу конфиденциальности пользователей и хакерского «зумомбирования».

В категории электронной почты, а также в категории обмена сообщениями, каждое протестированное приложение содержало по крайней мере один компонент с открытым исходным кодом с критической уязвимостью, получившей 10 баллов в исследовании, что представляет наивысший уровень уязвимости. Но даже в отчете признается, что это конкретное число не имеет большого значения – но только из-за «почти повсеместного использования компонентов с открытым исходным кодом, содержащих критическую уязвимость». В отчете говорится: «Однако это не меняет того факта, что все проанализированные приложения представляют серьезный риск для организации из-за широкого распространения критических уязвимостей».

Обратите внимание на компоненты Firefox

Один из самых ярких выводов в отчете касается не только того, какие приложения уязвимы, но и виноваты компоненты с открытым исходным кодом. Согласно исследованию, две версии компонента с открытым исходным кодом Firefox (а не сам браузер) составляли 75,8% обнаруженных критических уязвимостей. Сэмпсон сказал, что эти два компонента вносят «значительный вклад в общий нагрев уязвимости».

Для сравнения: частотный вес для компонентов с открытым исходным кодом Firefox составил 75,8, в то время как OpenSSL, который занимал второе место с точки зрения ответственности за уязвимости, имел частотный вес только 9,6.

Хорошая новость заключается в том, что Сэмпсон сказал, что в новых версиях компонента Firefox меньше уязвимостей. По его словам, чтобы уменьшить угрозу компрометации, которую они создают для клиентов, любой поставщик, полагающийся на этот компонент, должен обновить свой код до более новых и менее уязвимых версий компонента Firefox.

Очевидно, что предприятия не могут контролировать то, что находится под капотом. Но, по словам Сэмпсона, осведомленность и способность оценивать программное обеспечение на наличие уязвимостей – хорошие первые шаги к самозащите. Он также рекомендует предприятиям отклонять приложения, содержащие уязвимости более высокого ранга, или требовать от поставщиков удаления проблемного кода из своих приложений.