„2021 Software Vulnerability Snapshot“ von Synopsys Research Große Verbreitung von OWASP-Top-10-Schwachstellen

Quelle: Pressemitteilung

Nahezu jede Applikation und IT-Umgebung, die Synopsys im Jahr 2020 bei Kunden geprüft hat, wies Schwachstellen auf. 75 Prozent waren von Sicherheitslücken betroffen, die in den OWASP Top Ten 2021 geführt sind, heißt es im „2021 Software Vulnerability Snapshot“-Report.

Firmen zum Thema

Im „2021 Software Vulnerability Snapshot“ geht Synopsys auf die Schwachstellen ein, die mithilfe verschiedener Testmethoden bei Kunden gefunden wurden.
Im „2021 Software Vulnerability Snapshot“ geht Synopsys auf die Schwachstellen ein, die mithilfe verschiedener Testmethoden bei Kunden gefunden wurden.
(Bild: Synopsys)

Jedes Jahr prüfen Sicherheitsberater von Synopsys die Applikationen und IT-Systeme ihrer Kunden; 2020 belief sich deren Zahl auf 3.900 Tests von 2.600 Zielsystemen und -applikationen. Gut vier von fünf der getesteten Ziele waren Webanwendungen oder -systeme, zwölf Prozent mobile Apps, die restlichen Bereiche verteilten sich auf Quellcode oder Netzwerksysteme sowie -anwendungen.

Zum Leistungsumfang zählen dabei unter anderem Penetrationstests, Dynamic Application Security Testing (DAST) und Sicherheitsanalysen für mobile Anwendungen. Sämtliche Tests sind laut Synopsys darauf ausgelegt, laufende Anwendungen so zu untersuchen, wie dies auch ein realer Angreifer tun würde. Die Ergebnisse fließen in den „2021 Software Vulnerability Snapshot“-Bericht ein.

Im Zuge der Tests wurden Schwachstellen in 97 Prozent der Ziele identifiziert. 30 Prozent der untersuchten Ziele wiesen dabei Schwachstellen mit einem hohem Risiko auf, sechs Prozent kritische Anfälligkeiten. Drei Viertel der Testziele waren von Sicherheitslücken betroffen, die in den OWASP Top Ten 2021 geführt werden, sie werden dementsprechend als besonders gefährlich erachtet.

28 Prozent aller Testziele waren in irgendeiner Form einem Cross-Site-Scripting, kurz XSS-Risiko ausgesetzt. Fehlkonfigurationen von Anwendungen und Servern hatten einen Anteil von 21 Prozent an allen gefundenen Schwachstellen. 19 Prozent der identifizierten Anfälligkeiten entfielen auf die Kategorie „Broken Access Control“.

Anfällige Drittanbieter- und Open-Source-Komponenten fanden sich mithilfe durchgeführter Penetrationstests in 18 Prozent aller Fälle. Die Verwendung anfälliger und veralteter Komponenten ist ebenfalls ein in den OWASP Top Ten erwähnter Missstand und untermauert laut Synopsys den dringenden Bedarf an Software-Stücklisten (SBOM, Software Bill of Materials). Um Open-Source-Code und andere Komponenten effektiv nachzuverfolgen, sei eine präzise und aktuelle Software-Stückliste zwingend erforderlich.

Selbst wenn Schwachstellen ein geringes Risiko aufweisen, lassen sie sich mitunter für Angriffe verwenden. Beispielsweise gaben ausführliche Server-Banner – die in 49 Prozent der Testergebnisse gefunden wurden – Informationen wie Servername, -typ und Versionsnummer preis. All diese Informationen ließen sich dazu nutzen, Angriffe auf bestimmte Technologie-Stacks auszuführen, warnt Synopsys.

(ID:47825921)