Top Ten CVEs unter der Lupe
Die Sicherheitsforscher eines Security-Anbieters haben die zehn wichtigsten Schwachstellen des vergangenen Jahres umfassend analysiert und ihren Schweregrad neu bewertet.
Ein Ergebnis: Die meisten Schwachstellen waren nicht so leicht auszunutzen, wie von öffentlichen Quellen behauptet und verdienen daher nicht die hohe Schweregradeinstufung der National Vulnerability Database (NVD).
Das Security-Research-Team von JFrog untersucht hat es sich zur Aufgabe gemacht, die Auswirkungen von Schwachstellen auf Software-Artefakte, die tatsächlich in den heutigen FORTUNE-100-Unternehmen verwendet werden, detailliert zu beschreiben. Die Ergebnisse haben die Sicherheitsforscher nun in der ersten Ausgabe des „JFrog Critical Vulnerability Exposures (CVEs) Reports“ zusammengestellt. Er enthält eine detaillierte Analyse der zehn wichtigsten Schwachstellen des Jahres 2022 und eine Bewertung ihres Schweregrades aus Sicht der Experten. Zudem führt der Report Best Practices zur Minderung der potenziellen Auswirkungen jeder einzelnen Schwachstelle auf.
Die untersuchten Schwachstellen sind darin nach der Anzahl der von ihnen betroffenen Softwareartefakte von hoch bis niedrig sortiert, zudem werden folgende Aspekte beleuchtet:
- Auswirkungsanalyse – Zusammenfassung der Auswirkungen der Sicherheitslücke in der Praxis
- Technische Details zur Schwachstelle – Eine ausführliche Beschreibung der Schwachstelle, ihrer Angriffsvektoren und ihres Schweregrads, ohne Untersuchung des Quellcodes
- Kontextanalyse – Wie man feststellen kann, ob das CVE in ihrer jeweiligen Umgebung ausnutzbar ist
- Optionen zur Behebung/Abschwächung – Wie man die Auswirkungen der Schwachstelle abschwächen kann, auch ohne zwingend die betroffene Komponente zu aktualisieren
- Detaillierte Angaben zur Schwachstelle – Für ausgewählte Schwachstellen wird eine zusätzliche technische Analyse der Schwachstelle mit Hilfe von Kommentaren zum anfälligen Quellcode durchgeführt
- Trendanalyse – Für ausgewählte Schwachstellen wird die Anzahl der CVEs aus den vergangenen Jahren genannt, die diese Komponente betrafen; es erfolgt auch eine Prognose für die Anzahl der CVEs, die für die Komponente im Jahr 2023 zu erwarten sind.
Methodik
Als zertifizierter CNA (CVE Numbering Authority) überwacht und untersucht das Security-Research-Team von JFrog regelmäßig neue Schwachstellen, um deren wahren Schweregrad einzuordnen und veröffentlicht diese Informationen zum Nutzen der Open-Source-Community. Der Bericht basiert auf einer Auswahl der im Kalenderjahr 2022 am häufigsten entdeckten Schwachstellen über anonyme Nutzungsstatistiken der Plattform.
Ergebnisse
Die meisten der untersuchten Schwachstellen waren demnach nicht so leicht auszunutzen, wie von öffentlichen Quellen berichtet, und verdienen daher nicht die hohe NVD-Schweregradeinstufung. Eine weitere Analyse der einzelnen CVEs ergab, dass viele von ihnen komplexe Konfigurationen oder spezifische Bedingungen erfordern, unter denen ein Angriff erfolgreich ausgeführt werden kann. Das unterstreicht, wie wichtig es ist, bei der Bewertung der Auswirkungen von CVEs den Kontext zu berücksichtigen, in dem die Software eingesetzt und genutzt wird.
Bei den CVEs, die am häufigsten in Unternehmen auftreten, handelt es sich um Probleme mit geringem Schweregrad, die nie behoben wurden. Die Betreuer großer Projekte wie beispielsweise Debian und Red Hat sollten eigene Analysen durchführen, um zu prüfen, ob ein CVE ihr Projekt betrifft. Oft entdecken die Projektverantwortlichen ein CVE, das entweder ihr Projekt nicht betrifft oder nicht sehr schwerwiegend ist, entschließen sich allerdings dazu, das Problem nicht zu beheben. Diese ungelösten CVE-Probleme wirken sich in der Folge auf viele Systeme aus, und die Zahl der betroffenen Systeme wird mit der Zeit immer größer, da sich niemand um die Behebung dieser Sicherheitslücken kümmert. Erschwerend für die Sicherheitsteams kommt hinzu, dass die Bedrohung durch CVEs irreführend sein kann, wenn die Common-Vulnerability-Scoring-System-(CVSS)-Einstufung hoch ist, aber die Auswirkungen in der Realität vernachlässigbar sind und sie deshalb oft ignoriert werden.
Die Diskrepanz zwischen den öffentlichen Schweregrad-Einstufungen und den Schweregrad-Einschätzungen von JFrog Security Research wird deutlich, wenn man die 50 wichtigsten CVEs des Jahres 2022 vergleicht. In den meisten Fällen ist die CVE-Schweregradbewertung von JFrog Security Research niedriger als die NVD-Schweregradbewertung, was bedeutet, dass diese Schwachstellen aus Sicht von JFrog oft überbewertet werden. Tatsächlich erhielten 64 Prozent der Top-50 CVEs eine niedrigere JFrog-Security-Research-Schweregradbewertung, während 90 Prozent einen niedrigeren oder gleichen Schweregrad erhielten.
Fazit
Der Bericht ermöglicht Entwicklern, DevOps-Ingenieuren, Sicherheitsforschern und Verantwortlichen für Cybersecurity einen umfangreichen Einblick in die Sicherheitsschwachstellen, die enorme Risiken für die Software-Lieferketten bedeuten. Die bereitgestellten Informationen helfen Sicherheitsteams dabei, Gegenmaßnahmen sinnvoll zu priorisieren. So lassen sich die potenziellen Auswirkungen bekannter Software-Schwachstellen abfedern und die Sicherheit der Produkte und Dienstleistungen gewährleisten.
Die komplette Untersuchung finden Sie hier: https://jfrog.com/whitepaper/in-depth-analysis-of-open-source-security-vulnerabilities-most-impactful-to-devops-and-devsecops-teams
Autoren: Shachar Menashe and Yair Mizrahi arbeiten im Security Research Team bei JFrog.