Studie warnt vor virtuellen Appliances Hohes Risiko durch veraltete Appliances und fehlende Updates

Redakteur: Peter Schmitz

Die Software von aktuell angebotenen virtuellen Appliances weist oftmals leicht ausnutzbare, vermeidbare Sicherheitslücken auf. Veraltete Betriebssysteme stellen ein großes Problem dar. Das zeigt eine Studie von Orca Security

Softwareanbieter müssen dafür sorgen, dass sie ihre virtuellen Appliances konsequent pflegen und neue Patches bereitstellen, sobald Schwachstellen bekannt werden.
Softwareanbieter müssen dafür sorgen, dass sie ihre virtuellen Appliances konsequent pflegen und neue Patches bereitstellen, sobald Schwachstellen bekannt werden.
(© monsitj - stock.adobe.com)

Der Trend zur Cloud-Nutzung infolge der digitalen Transformation schreitet immer schneller voran. Dabei bleibt mitunter die Sicherheit auf der Strecke. So gibt es derzeit immensen Nachholbedarf, was die Aktualisierung virtueller Appliances betrifft. Orca Security analysierte daher 2.218 virtuelle Appliance-Images von 540 Softwareherstellern auf bekannte Schwachstellen und andere Risiken, um eine objektive Bewertung und Einstufung zu ermöglichen. Der „Orca Security 2020 State of Virtual Appliance Security Report“ kam zu dem Ergebnis, dass viele virtuelle Appliances mit bekannten, ebenso leicht ausnutzbaren wie behebbaren Schwachstellen in den Vertrieb kommen. Viele dieser virtuellen Appliances laufen auf herstellerseitig nicht mehr gewarteten Betriebssystemen, die das Supportende überschritten haben.

Virtuelle Appliances sind eine kostengünstige und relativ einfache Möglichkeit für Softwareanbieter, ihre Produkte für Kunden in Public- und Private-Cloud-Umgebungen bereitzustellen. Die Kunden erwarten, dass virtuelle Appliances frei von Sicherheitsrisiken sind. Die Studie von Orca Security hat aber in vielen Fällen genau das Gegenteil festgestellt. Unternehmen sollten daher wachsam sein, ihre virtuellen Appliances gezielt auf Schwachstellen testen und diese schnellstmöglich durch aktuelle Patches beheben.

  • Die Studie ergab, dass weniger als 8 Prozent der virtuellen Appliances (177) frei von bekannten Schwachstellen waren. Insgesamt wurden 401.571 Schwachstellen in den 2.218 virtuellen Appliances von 540 Softwareherstellern entdeckt.
  • Für diese Studie identifizierte Orca Security 17 kritische Schwachstellen, die schwerwiegende Auswirkungen haben könnten, wenn sie in einer virtuellen Appliance nicht behoben werden. Darunter waren auch einige dieser bekannten und leicht ausnutzbaren Schwachstellen: EternalBlue, DejaBlue, BlueKeep, DirtyCOW und Heartbleed.
  • Inzwischen erhielten 15 Prozent der virtuellen Appliances ein F-Rating, da sie den Studientest nicht bestanden haben.
  • Mehr als die Hälfte der getesteten virtuellen Appliances lagen unter einer Durchschnittsnote, wobei 56 Prozent eine Bewertung von C oder darunter erhielten (15,1 Prozent F; 16,1 Prozent D; 25 Prozent C).
  • Da Orca Security jedoch die 287 Updates, die von Softwareanbietern nach Erhalt der Ergebnisse durchgeführt wurden, erneut getestet hat, ist die durchschnittliche Bewertung dieser neu gescannten virtuellen Appliances von B auf A gestiegen.

Risiko durch veraltete Appliances und fehlende Updates

Mehrere virtuelle Appliances waren betriebssystemseitig veraltet oder aufgrund fehlender Updates einem hohen Sicherheitsrisiko ausgesetzt. So ergab die Studie ergab, dass die Mehrzahl der Anbieter ihre veralteten oder am Ende des Produktlebenszyklus angelangten Appliances nicht aktualisieren oder vom Markt nehmen.

  • Nur 14 Prozent (312) der Images der virtuellen Appliances wurden innerhalb der letzten drei Monate aktualisiert.
  • 47 Prozent (1.049) wurden innerhalb des letzten Jahres nicht aktualisiert; 5 Prozent (110) wurden mindestens drei Jahre lang vernachlässigt, und 11 Prozent (243) liefen mit veralteten oder veralteten EOL-Betriebssystemen.
  • Dennoch wurden einige veraltete virtuelle Appliances nach ersten Tests aktualisiert. Beispielsweise hatte Redis Labs ein Produkt, das aufgrund eines veralteten Betriebssystems und vieler Schwachstellen eine F-Bewertung erhielt, aber jetzt nach Updates eine A+ erreichte.

Studie zeigt bereits Wirkung

Im Rahmen des Prinzips der koordinierten Offenlegung von Schwachstellen kontaktierten die Orca-Sicherheitsforscher die Anbieter direkt, um ihnen die Möglichkeit zu geben, die Sicherheitsprobleme zu beheben. Als direktes Ergebnis dieser Studie haben die Anbieter bereits 36.259 von 401.571 Schwachstellen durch Patches beseitigt oder ihre virtuellen Appliances aus der Distribution genommen. Einige dieser wichtigen Korrekturen oder Aktualisierungen waren:

  • Dell EMC gab einen kritischen Sicherheitshinweis für seine CloudBoost Virtual Edition heraus.
  • Cisco veröffentlichte Korrekturen für 15 Sicherheitsprobleme, die in einer seiner virtuellen Appliances gefunden wurden, die bei der Studie gescannt wurden.
  • IBM hat innerhalb einer Woche drei seiner virtuellen Appliances aktualisiert oder entfernt.
  • Symantec entfernte drei schlecht bewertete Produkte.
  • Splunk, Oracle, IBM, Kaspersky Labs und Cloudflare haben ebenfalls Produkte entfernt.
  • Zoho aktualisierte die Hälfte seiner am stärksten gefährdeten Produkte.
  • Qualys aktualisierte eine 26 Monate alte virtuelle Appliance, die eine Schwachstelle bei der Benutzeraufzählung enthielt, die Qualys selbst entdeckt und 2018 gemeldet hatte.

Konsequente Wartung virtueller Appliances dringend empfohlen

Softwareanbieter sollten dafür sorgen, dass sie ihre virtuellen Appliances konsequent pflegen und neue Patches bereitstellen, sobald Schwachstellen bekannt werden. Taucht eine Sicherheitslücke an einem Produkt auf, muss dieses umgehend gepatcht werden oder anderenfalls aus dem Vertrieb genommen werden. Tools für das Management von Sicherheitslücken können virtuelle Appliances erfassen und auf bekannte Schwachstellen scannen. Unternehmen können diese Tools einsetzen, um alle virtuellen Appliances vor dem Einsatz zu scannen, um proaktiv für maximale Sicherheit zu sorgen.

(ID:47089509)