Estudo da Synopsys encontra vulnerabilidades em 97% dos aplicativos

A Synopsys publicou nesta terça-feira (16/11) o estudo “2021 Software Vulnerability Snapshot: An Analysis by Synopsys Application Security Testing Services”, um relatório que examina dados de 3,9 mil testes conduzidos em 2,6 mil alvos (software ou sistemas) durante o ano de 2020. Os dados, compilados por testes realizado pelos consultores de segurança da Synopsys em seus centros de avaliação para clientes, incluiu teste de penetração, teste de segurança de aplicativo dinâmico e análises de segurança de aplicativo móvel, projetado para sondar aplicativos em execução como um invasor do mundo real faria.

Segundo o relatório, 83% dos alvos testados eram aplicativos ou sistemas da Web, 12% eram aplicativos móveis e o restante eram código-fonte ou sistemas/aplicativos de rede. Os setores representados nos testes incluem software e Internet, serviços financeiros, serviços comerciais, manufatura, mídia e entretenimento e saúde.

“Implementações baseadas em Nuvem, estruturas de tecnologia modernas e o ritmo rápido de entrega estão forçando os grupos de segurança a reagir mais rapidamente conforme o software é lançado”, disse Girish Janardhanudu, vice-presidente de Consultoria de Segurança do Synopsys Software Integrity Group. “Com recursos insuficientes do AppSec no mercado, as organizações estão aproveitando os serviços de teste de aplicativos, como os fornecidos pela Synopsys, para escalar com flexibilidade seus testes de segurança. Vimos um grande aumento na demanda de avaliação durante a pandemia”, observou.

Nos 3,9 mil testes realizados, 97% dos alvos apresentaram algum tipo de vulnerabilidade, 30% dos alvos tinham vulnerabilidades de alto risco e 6% tinham vulnerabilidades de risco crítico. Os resultados demonstram que a melhor abordagem para o teste de segurança é utilizar o amplo espectro de ferramentas disponíveis para ajudar a garantir que um aplicativo ou sistema esteja livre de vulnerabilidades. Por exemplo, 28% do total de alvos de teste tiveram alguma exposição a um ataque de cross-site scripting (XSS), uma das vulnerabilidades de risco alto/crítico mais prevalentes e destrutivas que afetam os aplicativos da Web. Muitas vulnerabilidades de XSS ocorrem apenas quando o aplicativo está em execução.

Ainda segundo o estudo, configurações incorretas de aplicativos e servidores foram 21% das vulnerabilidades gerais encontradas nos testes, representadas pela categoria Owasp A05: 2021 — Configuração incorreta de segurança. E 19% do total de vulnerabilidades encontradas estavam relacionadas à categoria Owasp A01: 2021 — Broken Access Control.

Outro dado é que 80% das vulnerabilidades descobertas nos testes móveis estavam relacionadas ao armazenamento de dados inseguro. Essas vulnerabilidades podem permitir que um invasor obtenha acesso a um dispositivo móvel fisicamente (ou seja, acessando um dispositivo roubado) ou por meio de malware; 53% dos testes móveis revelaram vulnerabilidades associadas a comunicações inseguras.

De acordo com a Synopsys, 64% das vulnerabilidades descobertas nos testes são consideradas de risco mínimo, baixo ou médio, ou seja, os problemas encontrados não podem ser explorados diretamente por invasores para obter acesso a sistemas ou dados confidenciais. No entanto, descobrir essas vulnerabilidades não é um exercício vazio, pois mesmo as vulnerabilidades de menor risco podem ser exploradas para facilitar os ataques. Por exemplo, banners detalhados de servidor – encontrados em 49% dos testes – fornecem informações, como nome do servidor, tipo e número de versão, o que pode permitir que invasores executem ataques direcionados a camadas de tecnologia específicas.

Digno de nota foi o número de bibliotecas de terceiros vulneráveis ​​em uso, encontrado em 18% dos testes de penetração conduzidos pela Synopsys Application Testing Services.  A maioria das organizações normalmente usa uma combinação de código personalizado, código comercial pronto para uso e componentes de código aberto para criar o software que vendem ou usam internamente. Frequentemente, essas organizações têm inventários informais – ou nenhum – detalhando exatamente quais componentes seu software está usando, bem como as licenças, versões e status do patch desses componentes.

Serviço
www.synopsys.com