Relatório da Synopsys mostra que 95% dos softwares são vulneráveis

A Synopsys, fornecedora de soluções integradas para desenvolvimento de softwares, publicou o relatório “Snapshot de vulnerabilidade de software: as 10 vulnerabilidades de aplicativos da Web mais comuns”. O relatório examina os resultados de 4,3 mil testes de segurança conduzidos em 2,7 mil destinos de software, incluindo aplicativos da Web, aplicativos móveis, arquivos de código-fonte e sistemas de redes (ou seja, software ou sistemas). A maioria dos testes de segurança eram testes intrusivos de “caixa preta” ou “caixa cinza”, incluindo teste de penetração, teste dinâmico de segurança de aplicativos (DAST) e teste de segurança de aplicativos móveis (MAST), projetado para investigar aplicativos em execução como faria um invasor do mundo real.

Segundo o estudo, 82% dos alvos de teste eram aplicativos ou sistemas da Web, 13% eram aplicativos móveis e o restante era código-fonte ou sistemas/aplicativos de rede. As indústrias representadas nos testes incluíram software e Internet, serviços financeiros, serviços comerciais, manufatura, serviços ao consumidor e saúde.

Nos 4,3 mil testes realizados, 95% dos alvos apresentaram algum tipo de vulnerabilidade (uma redução de 2% em relação às descobertas do ano passado); 20% tinham vulnerabilidades de alto risco (uma redução de 10% em relação ao ano passado) e 4,5% tinham vulnerabilidades críticas (uma redução de 1,5% em relação ao ano anterior).

Os resultados demonstram que a melhor abordagem para o teste de segurança é utilizar o amplo espectro de ferramentas disponíveis, incluindo análise estática, análise dinâmica e análise de composição de software para ajudar a garantir que um aplicativo ou sistema esteja livre de vulnerabilidades. Por exemplo, 22% do total de alvos de teste tiveram alguma exposição a uma vulnerabilidade de cross-site scripting (XSS), uma das vulnerabilidades de alto/crítico risco mais predominantes e destrutivas que afetam os aplicativos da Web. Muitas vulnerabilidades XSS ocorrem quando o aplicativo está em execução. A boa notícia é que a exposição identificada nas descobertas deste ano foi 6% menor do que nas descobertas do ano passado, o que significa que as organizações estão tomando medidas proativas para atenuar as vulnerabilidades XSS em seus aplicativos de produção.

“Esta pesquisa ressalta que técnicas intrusivas de teste de caixa preta, como DAST e teste de penetração, são particularmente eficazes para revelar vulnerabilidades exploráveis ​​no ciclo de vida de desenvolvimento de software e devem fazer parte de qualquer regime de teste de segurança de aplicativos completo”, disse Girish Janardhanudu, vice-presidente de Segurança e Consultoria do Synopsys Software Integrity Group.

Destaques adicionais do relatório

As 10 principais vulnerabilidades do OWASP foram descobertas em 77% dos alvos: as configurações incorretas de aplicativos e servidores representaram 18% das vulnerabilidades gerais encontradas nos testes (uma redução de 3% em relação às descobertas do ano passado), representadas pela categoria OWASP A05:2021 – Configuração incorreta de segurança. E 18% do total de vulnerabilidades encontradas estavam relacionadas à categoria OWASP A01:2021 –  Controle de acesso quebrado (uma redução de 1% em relação ao ano passado).

A necessidade urgente de uma lista de materiais de software: bibliotecas de terceiros vulneráveis ​​foram encontradas em 21% dos testes de penetração realizados (um aumento de 3% em relação às descobertas do ano passado). Isso corresponde ao Top 10 da OWASP de 2021 categoria A06:2021 – Uso de componentes vulneráveis ​​e desatualizados. A maioria das organizações usa uma mistura de código personalizado, código comercial pronto para uso e componentes de código aberto para criar o software que vendem ou usam internamente. Frequentemente, essas organizações têm inventários informais – ou não – detalhando exatamente quais componentes seu software está usando, bem como licenças, versões e status de patch desses componentes. Com muitas empresas tendo centenas de aplicativos ou sistemas de software em uso, cada um provavelmente tendo de centenas a milhares de diferentes componentes de terceiros e de código aberto, uma lista de materiais de software precisa e atualizada é urgentemente necessária para rastrear efetivamente esses componentes .

Vulnerabilidades de baixo risco também podem ser exploradas para facilitar ataques: 72% das vulnerabilidades descobertas nos testes são consideradas de baixo ou médio risco. Ou seja, os problemas encontrados não são diretamente exploráveis ​​por invasores para obter acesso a sistemas ou dados confidenciais. No entanto, ressurgir essas vulnerabilidades não é um exercício vazio, pois mesmo as vulnerabilidades de menor risco podem ser exploradas para facilitar os ataques. Por exemplo, banners de servidor detalhados – encontrados em 49% dos testes DAST e 42% dos testes de penetração – fornecem informações como nome do servidor, tipo e número da versão que podem permitir que invasores executem ataques direcionados a pilhas de tecnologia específicas.

Serviço
www.synopsys.com