Negen jaar bugs en gecoördineerde informatie over kwetsbaarheden

Slechts 26% van de onderzochte beveiligingskwetsbaarheden is opgelost

Negen jaar bugs en gecoördineerde informatie over kwetsbaarheden

Als onderdeel van het kwetsbaarheidsonderzoek bij NCC Group vinden we veel bugs in commerciële producten en systemen. De afgelopen negen jaar hebben we een gedetailleerd intern logboek bijgehouden van deze bugs.

In deze whitepaper, opgesteld door Matt Lewis, Research Director bij NCC Group, geven we een analyse van de gegevens die we hebben vastgelegd. Dit betreft de gevonden typen bugs, de risico’s, of er trends zjin in specifieke kwetsbaarheidscategorieën.

Data

De gegevens die hier worden gepresenteerd zijn afkomstig van dagelijkse penetratietesten. Het onderzoek omvat 1108 geregistreerde kwetsbaarheden die door consultants in commerciële producten zijn gevonden. Hoewel we opvallende thema’s en observaties naar voren willen halen, moeten we ervoor waken dat we gegevens en patronen niet generaliseren. Afhankelijk van het perspectief van consultants op het verwerken van bugs, kan er inconsistentie ontstaan in het labelen daarvan.

Risicocijfers

Van de 1108 gelogde bugs, zien we dat 41% werd beoordeeld als hoog risico, en 32% als middelmatig risico. De feitelijke verdeling was:

  • Kritiek: 94
  • Hoog: 457
  • Middelmatig: 355
  • Laag: 202

Closed Issues & tijd om te verhelpen

De kwetsbaarheden die zijn gekenmerkt als ‘closed issues’ zijn verholpen, of het risico is expliciet geaccepteerd door de verkoper. In totaal zijn 289 (26%) van de gelogde bugs gekenmerkt als ‘closed issues’. De gemiddelde tijd die nodig was om een kwetsbaarheid te verhelpen was 60 dagen. De gemiddelde tijd om kwetsbaarheden te verhelpen voor de verschillende risicogroepen was:

  • Kritiek: 74 days
  • Hoog: 34 days
  • Middelmatig: 77 days
  • Laag: 96 days

De komende negen jaar

Wanneer we kijken naar de typen kwetsbaarheden die onze consultants recentelijk vinden, zien we een toename in:

  • Deserialisation flaws
  • Server-side request forgery(SSRF)
  • Chaining of bugs: Meerdere problemen met een lag risisco die in een aaneenschakelend worden gebruikt in een grote of complexe infrastructuur, resulterend in volledige onbevoegde toegang.
  • Verkeerde configuratie
  • Hardwarebeveiliging: naarmate we ons meer bezig houden met ingebedde systemen en IoT zien we meer tekortkomingen het ontwerp en de implementatie van hardware.

Conclusies & aanbevelingen

Het is de technologische industrie nog niet gelukt veelvoorkomende bugs de wereld uit te helpen, ondanks dat ze al tientallen jaren bekend zijn. Er zijn meer investeringen nodig in Secure Development Lifecycles (SDL) en softwareontwikkelingstraining.

Verkopers moeten zich meer bewust worden van het belang van openbaarmaking van kwetsbaarheden, en ze moeten beschikken over duidelijk gedefinieerde processen voor het omgaan met informatie over kwetsbaarheden. Onderzoekers moeten zich op hun beurt verbeteren in het onderhouden van communicatie met verkopers en het werken aan oplossingen. Om dit intern te ondersteunen heeft NCC Group een driemaandelijkse en jaarlijkse bug finding prijs in het leven geroepen. Daarnaast moeten Common Vulnerabilities and Exposures (CVE’s) gebruikt worden, en verkopers moeten worden voorgelicht over het belang van CVE’s.

Nu bij Fox-IT

Neem contact op

+31 (0) 15 284 79 99

fox@fox-it.com

Delft