Veracode-Studie

Java-Anwendungen im Visier von Cyber-Angriffen

| Autor: Sarah Böttcher

Netzwerkspezialist Veracode nimmt in seiner aktuellen Studie über Anwendersicherheit Security-Schwachstellen in Java-Unternehmensanwendungen unter die Lupe.
Netzwerkspezialist Veracode nimmt in seiner aktuellen Studie über Anwendersicherheit Security-Schwachstellen in Java-Unternehmensanwendungen unter die Lupe. (Bild: vchalup - stock.adobe.com)

Fehlende Visibilität und das Management von Open-Source-Komponenten in Unternehmensanwendungen sind laut einer Studie von Veracode die Gründe dafür, dass Java-Anwendungen anfällig für Cyber-Angriffe sind.

Über den Status der Anwendersicherheit berichtet Veracode in seiner neusten Studie „State-of-Software-Security-Report“. Den Ergebnissen zufolge enthalten 88 Prozent der Java-Anwendungen mindestens eine Komponente, die als Einfallstor für Cyber-Kriminelle fungiert. Gründe dafür sind eine fehlende Visibilität sowie das Management von Open-Source-Komponenten in Unternehmensanwendungen. Weniger als 28 Prozent der Firmen führen Veracode zufolge regelmäßige Analysen der Open-Source- und Third-Party-Komponenten durch, die in ihren Anwendungen eingesetzt sind.

Chris Wysopal, CTO bei Veracode dazu: „Die universelle Verwendung von Komponenten in der Anwendungsentwicklung führt dazu, dass die Entdeckung einer Schwachstelle in einer einzigen Komponente das Potenzial hat, tausende Anwendungen gleichzeitig zu kompromittieren.“

„Struts-Shock“-Schwachstelle

In den vergangenen zwölf Monaten kam es zu mehreren schwerwiegenden Angriffen auf Java-Applikationen, bei denen Cyber-Kriminelle Schwachstellen in quelloffenen und proprietären Komponenten ausnutzten. Ein Beispiel liefert die im März 2017 entdeckte „Struts-Shock“-Schwachstelle. Die Analyse von Veracode ergibt zudem, dass 68 Prozent der Java-Anwendungen, die auf die „Apache Struts 2“-Bibliothek zurückgreifen, auch in den Wochen nach der ersten Angriffswelle noch eine angreifbare Version der Komponente nutzten.

Die kritische Schwachstelle in der Bibliothek ermöglichte eine unter der Bezeichnung Remote Code Execution (RCE) bekannte Angriffsmethode, bei der ein Angreifer beliebige Befehle in die Anwendung einschleusen kann. Weil mehr als 35 Millionen Webseiten davon betroffen waren, gelang Cyber-Kriminellen eine ganze Reihe an Einbrüchen, zum Beispiel in die Systeme der Canada Revenue Agency, der University of Delaware und Equifax.

Risiken von Open-Source- und Drittanbieter-Komponenten

Der Report zeigt, dass 53,3 Prozent der Anwendungen angreifbare Versionen von Commons-Collections-Komponenten nutzen. Damit liegt dieser Wert auf dem gleichen Niveau wie im Vorjahr. Komponenten von Fremdanbietern enthalten funktionierenden Code zur Lösung von wiederkehrenden Aufgaben. Durch ihren Einsatz gewinnt die Anwendungsentwicklung an Effizienz.

„Entwickler können auf Komponenten nicht verzichten – und das sollten sie auch gar nicht. Wenn jedoch ein Exploit bekannt wird, zählt jede Sekunde“, so Wysopal weiter. „Open-Source- und Drittanbieter-Komponenten sind nicht notwendigerweise unsicherer als selbstentwickelter Code, aber die Ausnutzung ihrer Schwachstellen kann besonders lukrativ sein, da oftmals Tausende oder gar Millionen von Anwendungen gleichzeitig betroffen sind. Cyber-Kriminelle legen deshalb einen Fokus auf diese Schwachstellen – und die IT-Sicherheit sollte es auch tun. Jedes Unternehmen benötigt eine Übersicht darüber, welche Komponenten es in welchen Versionen im Einsatz hat und welche Komponenten ein Risiko darstellen. Hierzu bedarf es der richtigen Tools.“

Weitere Studienergebnisse

Der fortdauernde Einsatz von angreifbaren Komponenten in Anwendungen ist nicht die einzige bedenkliche Entwicklung, die der Report aufdeckt. So zeigt er zum Beispiel auch, dass viele Unternehmen der Beseitigung von Schwachstellen zwar eine hohe Priorität einräumen, ihre Software aber dennoch nicht im Griff haben. Selbst die Beseitigung großer Mängel kostet Unternehmen viel Zeit – lediglich 22 Prozent wurden in 30 Tagen oder weniger behoben. Angreifer werden aber bereits wenige Tage nach der Aufdeckung einer Schwachstelle aktiv. Somit besteht ein großes Zeitfenster, in dem Cyber-Kriminelle freie Hand haben. Darüber hinaus deckt der Report noch weitere Entwicklungen auf:

  • Ein alarmierend großer Teil von zuvor ungetesteter Software weist Mängel auf. Bei 77 Prozent der Anwendungen wurde im Rahmen des ersten Scans zumindest eine Schwachstelle identifiziert.
  • Regierungsorganisationen schneiden im Branchenvergleich am schlechtesten ab. Nur 24,7 Prozent ihrer Anwendungen bestehen den ersten Test, außerdem kommen bei ihnen schwerwiegende Schwachstellen wie Cross-Site-Scripting (49 Prozent) und SQL-Injections (32 Prozent) am häufigsten vor.
  • Vergleicht man den ersten und den letzten Scan im Untersuchungszeitraum, dann hatten kritische Infrastrukturen zu Beginn zwar mit 29,8 Prozent bestandener Tests die geringste Durchfallquote, allerdings ging dieser Wert leicht zurück auf 29,5 Prozent beim letzten Scan. Zwei Branchen, die sich gebessert haben, sind das Gesundheitswesen (von 27,5 Prozent auf 30,2 Prozent) sowie der Einzelhandel und die Gastronomie (von 26,2 Prozent auf 28,5 Prozent).

Zur Studie

Die achte Ausgabe des „State-of-Software-Security-Reports“ hat Veracode, Spezialist für Anwendungssicherheit und seit kurzem Teil von CA Technologies, auf Basis von Daten und Software-Scans von mehr als 1.400 Kunden durchgeführt. Grundlage waren über 400.000 Analysen im zwölfmonatigen Zeitraum zwischen dem 1. April 2016 und dem 31. März 2017.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44980894 / Sicherheitslücken)