A kiberbűnözők mindig egy lépéssel előttünk járnak – mondják folyton a biztonsági szakértők, ám úgy tűnik, a fejlesztők is sokat tesznek azért, hogy a védelem hendikepje folyamatos legyen. Tavaly a szoftverekben talált sérülékenységek száma minden korábbi rekordot megdöntött – írja éves Vulnerability QuickView Reportjában [PDF] az amerikai RiskBased Security, amely – mint neve is mutatja – fejlett analitikára épülő kockázatelemzésen alapú biztonsági megoldásokat kínál.

A kutatások korlátai

Minden IT-biztonsági cég készít jelentéseket a kockázatok alakulásáról. Ezeknek a jelentéseknek a többsége az adott cég ügyfeleitől begyűjtött adatokon alapul, azaz reprezentatívnak semmiképpen sem nevezhető. (Kevés biztonsági cég rendelkezik olyan kiterjedt adatgyűjtési lehetőséggel, mint például a Symantec Global Intelligence Networkje.) Mivel azonban ezek a jelentések időnként más-más szempontok szerint figyelik a kockázatokat, érdekes tendenciákat tudnak megfigyelni.

Ilyen RiskBased Security jelentése is. A cég tavaly 21 ezer biztonsági hibát detektált, mintegy harmadával többet, mint egy évvel korábban. Ez arra utal, hogy – valószínűleg nem függetlenül a fejlesztés tempójának, valamint a szoftverrendszerek bonyolultságának növekedésétől –, hogy már fejlesztési fázisban egyre több hiba, félmegoldás, "szögelés" marad a kódban. (Jól példázza ezt az Intel esete a Meltdown és Spectre hibával, amikor a chipgyártó elkapkodott szoftveres javítását a Microsoft kénytelen volt letiltani.)

A jelentés szerint ráadásul egyre súlyosabbak a szoftverek sérülékenységei. A RiskBased Security által talált sérülékenységek közel 40 százaléka a legmagasabb veszélyességi besorolások valamelyikét kapta a CVSSv2 skála szerint (Common Vulnerability Scoring System – nyílt szabvány a sérülékenységek súlyosságának értékelésére). Az összes sérülékenység közel felét távolról is ki lehetett használni, harmadához pedig exploit kódok és pontos dokumentáció került ki a netre.

A webes alkalmazások népszerűek

A cég tavaly a sérülékenységek felét különböző webes alkalmazásokban, szolgáltatásokban találta. A leggyakoribb problémának az XSS, azaz Cross-Site Scripting vagy keresztoldali szkriptelés típusú támadásokra lehetőséget adó sebezhetőségek számítottak, amikor a támadó egy kártékony programrészletet illeszt be az alkalmazás kódjába, és azt maga a megtámadott kliens futtatja le.

Érdekes tendencia, hogy a biztonsági szoftverekben is tempósan gyarapodnak a sérülékenységek. Tavaly közel ezer sérülékenység érintett valamilyen biztonsági szoftvert, míg 2016-ban csak 700 ilyen hibát talált a cég.

Nagyon komoly problémát jelentenek a SCADA (Supervisory Control And Data Acquisition) rendszerek, habár tavaly némileg csökkent az ilyen rendszerekben talált sérülékenységek száma. Ugyan az ezekben a rendszerekben talált sérülékenységek kevesebb mint 2 százalékát adják az összes sérülékenységnek, ezek hatása kiterjedt lehet, hiszen a SCADA rendszereket kritikus infrastruktúrákban is használják. Ráadásul ezeknek a problémáknak közel 65 százaléka a legmagasabb – a CVSSv2 skála szerinti 7-10-es – kategóriába esik. Tavaly a Schneider Electric, az Advantech és a Siemens rendszereiben találták a legtöbb sérülékenységet.

A fejlesztő cégek is küzdenek

A jelentésben van egy toplista azokról a cégekről, melyek a legtöbb 9-10-es veszélyességű sebezhetőséget javították tavaly. A Google több mint félezer kritikus hibát javított, a második SUSE 300 javítással. A harmadik és negyedik helyen két open source cég végzett: a Canonical 285, míg a Red Hat 274 kritikus hibát javított.

Ha a sérülékenységek teljes skáláját nézzük, már más a helyzet. Az Oracle több mint 1500 javítással végzett az élen, de közülük csak 201 volt 9-10-es fokozatú.

A fenti grafikon szépen megmutat néhány klasszikus veszélyforrást. Az Adobe szoftvereiben például viszonylag alacsony volt a sérülékenységek száma, ugyanakkor azok CVSS szerinti besorolása a legmagasabb, az átlagos veszélyességi szint 8-nál is magasabb. Ez utóbbi szepontból kimagaslóan teljesített az IBM, a cég rendszereiben 1100 hibát találtak, de azok átlagosan csak 5,61-os besorolást kaptak, valamint a Cisco (512 hiba, átlagosan 5,64-os CVSS-érték). A sokat csepült Microsoft a középmezőnyben végzett, és a sérülékenységek átlagos CVSS-értéke is viszonylag alacsony, 6,16, míg az Apple szoftvereiben ugyan kevesebb hibát találtak, de azok CVSS-átlaga magasabb volt, 6,49.

A sérülékenységek gyarapodását akár annak is betudhatnánk, hogy egyre népszerűbbek az ún. hibavadász (bug bounty) programok, amelyben a cégek jutalmat ajánlanak fel külső biztonsági kutatóknak a feltárt sérülékenységekért. A RiskBased Security statisztikái szerint azonban ez közel sincs így. A feltárt sérülékenységeknek ugyanis nem egészen 6 százalékát fedezték fel ezeknek a programoknak a keretében.