Уязвимости в проектах open-source годами остаются незамеченными

Уязвимости в проектах open-source годами остаются незамеченными

Создавая программы для бизнеса, разработчики все больше полагаются на компоненты с открытым исходным кодом. Проведенное в GitHub исследование показало, что современные приложения могут на 80% состоять из зависимостей, поэтому безопасность последних особенно важна. К сожалению, уязвимости в кодах, связанных зависимостью, выявляются в основном случайно и могут просуществовать без внимания более четырех лет.

Инструментарий на GitHub позволяет быстро оповещать разработчиков о новых брешах в проектах open-source и наличии патчей, но проблема детектирования таких нарушений безопасности сильно тревожит операторов сервиса. Чтобы определить масштабы бедствия, исследователи изучили (PDF) содержимое 45 тыс. открытых репозиториев, активных как минимум два года — с октября 2018-го по сентябрь текущего.

Найденные связные компоненты были разделены на пять групп в зависимости от языка, на котором они написаны (PHP, Java, JavaScript, .NET, Python и Ruby). Как оказалось, чаще всего разработчики используют сторонние библиотеки JavaScript (94% приложений), Ruby и .NET (по 90%).

Темпы латания брешей в пакетах open-source оказались приемлемыми: участники сообщества закрывают их в течение месяца, и пользователи, получив извещение, обычно успевают за неделю внести исправления в свой продукт. Однако далеко не все оповещения GitHub заслуживают пристального внимания — в 83% случаев предметом алерта оказалась ошибка, не составляющая угрозу безопасности. Остальные предупреждения были оправданными: в open-source объявилась уязвимость (или бэкдор). К сожалению, такие проблемы в основном находят в заброшенных или редко используемых проектах.

Исправить ситуацию, по мнению исследователей, можно лишь объединенными усилиями разработчиков, операторов хранилищ и пользователей. Все они должны регулярно проверять зависимости в коде на уязвимость, а также расширять использование средств автоматизации оповещений и патчинга связных кодов — по данным GitHub, это поможет ускорить латание дыр в приложениях в 1,4 раза.

Из брешей, зафиксированных в 2020 году, наиболее опасными исследователи сочли Curveball (CVE-2020-0601), SMBGhost (CVE-2020-0796) и Zerologon (CVE-2020-1472). Эти уязвимости затронули большое количество разработок и поставили под угрозу множество оконечных устройств и корпоративных сетей.

С точки зрения патчинга весьма неприятна также CVE-2020-8203 в npm-пакете lodash, которая позволяет внести нежелательные изменения в прототип объекта JavaScript. Исследование показало, что сценарий lodash пользуется большой популярностью у разработчиков бизнес-программ, и появление CVE-2020-8203 вызвало более пяти млн алертов, запущенных с помощью бота GitHub.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

У F.A.C.C.T. ASM появился еще один MSSP-провайдер — Риэль Инжиниринг

Компания F.A.С.С.T. обрела нового партнера по поставке MSSP-услуг. Системный интегратор «Риэль Инжиниринг» уже запустил пилотирование F.A.C.C.T. Attack Surface Management, и продукт помог выявить потенциальные угрозы в сетях заказчиков.

ИТ-компания «Риэль Инжиниринг» специализируется на решениях промышленной автоматизации, основная масса ее клиентов — крупные предприятия России, которым ввиду роста количества целевых атак на АСУ ТП важно быть на шаг впереди потенциальных злоумышленников.

По оценке F.A.С.С.T., в этом году наибольшую угрозу для российской промышленности составляют атаки с использованием зловредов: шифровальщиков, шпионов, инфостилеров, скрытных майнеров, а также утечки данных по вине хактивистов. Основными векторами атак на промпредприятия являются вредоносные рассылки, открытые RDP-порты, теневые цифровые активы и непропатченные уязвимости.

Решение F.A.C.C.T. ASM позволяет проводить проверки ИТ-инфраструктуры с тем, чтобы выявить слабые места и держать под контролем площадь атаки. Пилоты подключения клиентуры «Риэль Инжиниринг» уже зафиксировали такие потенциальные угрозы, как устаревший софт, незакрытые порты, просроченные сертификаты, небезопасные настройки имейл.

На некоторых промышленных предприятиях была обнаружена утечка корпоративных учеток, в одном из случаев сервисы были вынесены на внешний хостинг с сомнительной репутацией.

Ранее в этом году F.A.C.C.T. объявила о начале MSSP-партнерства с другим российским интегратором, «Бизнес Ай Ти». В рамках новой программы ИТ-компания предлагает бесплатный двухнедельный пилот аудита инфраструктуры заказчика с использованием облачного SaaS-решения F.A.C.C.T. ASM.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru