Software Vulnerability Snapshot Synopsys deckt auf: kaum eine App ohne Sicherheitslücke

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

Eskenzi PR Limited

Synopsys Inc.

Der diesjährige Bericht „Software Vulnerability Snapshot“ zeigt, dass 95 Prozent der von Synopsys getesteten Programme irgendeine Art von Schwachstelle aufweisen. Bei rund einem Viertel der App sind diese Sicherheitslücken sogar als kritisch oder hochriskant einzustufen.

Der Bericht „Software Vulnerability Snapshot: The 10 Most Common Web Application Vulnerabilities“ untersucht die Häufigkeit von Schwachstellen, die mittels Synopsys Application Security Testing Services und vom Synopsys Cybersecurity Research Center identifiziert wurden.

Die Ergebnisse stammen aus 4.300 Sicherheitstests, bezogen auf 2.700 Softwareziele, darunter Web-Applikationen, mobile Anwendungen, Quellcode-Dateien und Netzwerksysteme (d.h. Software oder Systeme). Bei den meisten Tests handelte es sich um intrusive „Black-Box“- oder „Grey-Box“-Tests. Dazu gehörten Penetrationstests, Dynamic Application Security Testing (DAST) und Mobile Application Security Testing (MAST), bei denen die laufenden Anwendungen so untersucht und sondiert wurden, wie dies ein realer Angreifer tun würde.

82 Prozent der Testziele waren Web-Applikationen oder -systeme, 13 Prozent mobile Anwendungen. Bei den übrigen handelte es sich entweder um Quellcode oder Netzwerksysteme/-anwendungen. Zu den innerhalb der Tests vertretenen Branchen zählen Software und Internet, Finanzdienstleister, Business Services, Fertigung, Dienstleistungen für Endverbraucher und das Gesundheitswesen.

Bei den insgesamt 4.300 Tests, so Synopsys, wurde bei 95 Prozent der Ziele irgendeine Form von Schwachstelle gefunden (ein Rückgang um zwei Prozent gegenüber den Vergleichsresultaten aus dem letzten Jahr). Zwanzig Prozent der Ziele wiesen hochriskante Schwachstellen auf (ein Rückgang von zehn Prozent gegenüber dem Vorjahr) und 4,5 Prozent verzeichneten kritische Schwachstellen (ein Rückgang von 1,5 Prozent gegenüber dem Vorjahr).

Die Ergebnisse zeigen, dass der beste Ansatz bei Sicherheitstests darin besteht, das breite Spektrum verfügbarer Tools zu nutzen. Dazu zählen die statische und dynamische Analyse sowie die Analyse zur Softwarezusammensetzung (Software Composition Analysis, SCA). Erst diese Kombination aus verschiedenen Tools stellt sicher, dass eine Anwendung oder ein System frei von Schwachstellen ist. 22 Prozent aller getesteten Ziele wiesen beispielsweise eine Schwachstelle im Bereich Cross-Site-Scripting (XSS) auf. Dabei handelt es sich um eine der am weitesten verbreiteten und destruktivsten Schwachstellen, verbunden mit einem hohen/kritischen Risiko für Webanwendungen. Viele XSS-Schwachstellen treten dann auf, wenn die Anwendung ausgeführt wird. Die gute Nachricht: Laut der diesjährigen Ergebnisse liegt das ermittelte Gefährdungspotenzial um sechs Prozent niedriger als im letzten Jahr. Dies deutet darauf hin, dass Unternehmen bereits proaktiv Maßnahmen ergreifen, um XSS-Schwachstellen in Produktionsanwendungen zu entschärfen.

Weitere Highlights aus dem aktuellen Bericht:

• OWASP-Top-10-Schwachstellen wurden bei insgesamt 77 Prozent der Zielsysteme aufgedeckt. Dabei machten fehlerhafte Konfigurationen bei Anwendungen und Servern 18 Prozent der insgesamt gefundenen Schwachstellen aus (ein Rückgang von drei Prozent verglichen mit den Resultaten aus dem letzten Jahr), repräsentiert in der OWASP-Kategorie A05:2021 – Broken Access Control. Auch 18 Prozent der insgesamt gefundenen Schwachstellen entfielen auf die OWASP-Kategorie A01:2021 – Broken Access Control (ein Rückgang von einem Prozent gegenüber dem Vorjahr).

• Software Bill of Materials (SBOM) sind dringend erforderlich. Bei 21 Prozent der durchgeführten Penetrationstests wurden anfällige Bibliotheken von Drittanbietern gefunden (ein Anstieg von drei Prozent gegenüber den Ergebnissen des letzten Jahres). Dies entspricht der 2021-OWASP-Top-10-Kategorie A06:202 – Use of Vulnerable and Outdated Components. Wenn Unternehmen Software entwickeln, die sie vertreiben oder intern verwenden, kommt meist eine Mischung aus selbst entwickeltem Code, kommerziellem Standardcode und Open-Source-Komponenten zum Einsatz. Oft verfügen Firmen aber nur über informelle oder gar keine Verzeichnisse. In solchen Verzeichnissen sollte genau aufgeführt sein, welche Komponenten die betreffende Software verwendet und welche Lizenzen, Versionen und Patches vorhanden sind. Nicht selten sind bei Unternehmen Hunderte von Anwendungen oder Softwaresystemen im Einsatz. Jedes Einzelne von ihnen enthält vermutlich selbst wiederum Hunderte oder gar Tausende unterschiedlicher Komponenten – sowohl von Drittanbietern als auch Open Source-Komponenten. Man braucht also zwingend eine präzise aktuelle SBOM, um sämtliche dieser Komponenten effektiv nachverfolgen zu können.

• Auch Schwachstellen mit einem geringeren Risiko lassen sich ausnutzen, um Angriffe zu erleichtern. 72 Prozent der bei den Tests aufgedeckten Schwachstellen wird ein geringes oder mittleres Risiko attestiert. Das heißt, Angreifer können diese Schwachstellen nicht direkt ausnutzen, um sich so Zugang zu Systemen oder sensiblen Daten verschaffen. Nichtsdestotrotz macht es Sinn, diese Schwachstellen zu identifizieren. Denn auch solche mit einem niedrigeren Risiko können Angriffe erleichtern. So liefern beispielsweise ausführliche Serverbanner, die in 49 Prozent der DAST-Tests und 42 Prozent der Pen-Tests gefunden wurden, Informationen wie Servername, Typ und Versionsnummer. Informationen, die es einem Angreifer erlauben, gezielte Angriffe auf bestimmte Technologie-Stacks durchzuführen.

(ID:48762145)