Open Source Security Management

Schlamperei mit Open Source-Sicherheitslücken

| Autor / Redakteur: Lou Shipley / Peter Schmitz

Die meisten Unternehmen verfügen über keine automatisierten Prozesse um Patches und Fixes für bekannte Open-Source-Schwachstellen zu überwachen.
Die meisten Unternehmen verfügen über keine automatisierten Prozesse um Patches und Fixes für bekannte Open-Source-Schwachstellen zu überwachen. (Bild: Pixabay / CC0)

Im September 2017 gab das US-amerikanische Wirtschaftsauskunftsunternehmen Equifax – quasi die amerikanische Schufa – einen großen Cybersicherheitsvorfall zu, der möglicherweise rund 150 Millionen US-amerikanische, kanadische sowie britische Konsumenten betrifft und den CEO und Chairman Richard Smith seinen Job kostete. Dieser Vorfall hätte nie passieren dürfen.

Kriminelle nutzten eine Schwachstelle in einer Webseitenapplikation aus und erhielten dadurch von Mitte Mai bis Juli dieses Jahres Zugriff auf die Daten von Equifax. Das Unternehmen hat bestätigt, dass es sich bei der ausgenutzten Schwachstelle um die bereits bekannte CVE-2017-5638 in Apache Struts handelt.

Apache Struts ist ein kostenloses Open-Source-Framework, das beim Aufbau von Webseiten und Webanwendungen verwendet wird. Apache Struts ist in Fortune 100-Unternehmen weit verbreitet – einschließlich der Branchen Bildung, Staat, Finanzdienstleistungen, Einzelhandel und Medien. Die Apache Struts-Schwachstelle wurde bereits im März dieses Jahres mit einem Patch geschlossen, trotzdem war sie bei Equifax noch offen.

Unbekannte Open Source

Warum überrascht es nicht, dass sechs Monate nachdem ein Patch bereitgestellt wurde, die Schwachstelle noch immer ausnutzbar ist? Obwohl Open-Source-Software - wie Apache Struts - 80 bis 90 Prozent des Codes in modernen Anwendungen ausmacht, haben die meisten Unternehmen keinen guten Einblick in ihren Open-Source-Code. Auch wenn Patches und Fixes für bekannte Open-Source-Schwachstellen zur Verfügung stehen, sind sich Unternehmen einfach nicht darüber im Klaren, dass sie eine anfällige Open-Source-Komponente verwenden oder dass ein Fix verfügbar ist. Denn die meisten Unternehmen verfügen über keine automatisierten Prozesse, um ihren Open-Source-Code zu identifizieren und zu überwachen. So eine inneffektives Open-Source-Security-Management ist rund um den Globus weit verbreitet

High-Risk-Schwachstellen

Im vergangenen Jahr analysierte das Center for Open Source Research & Innovation (COSRI) von Black Duck mehr als 1.000 Applikationen, die im Rahmen von M&A-Transaktionen auditiert wurden. Die COSRI-Analyse ergab, dass 96 Prozent der Anwendungen Open-Source-Software einsetzten und mehr als 60 Prozent enthielten bekannte Sicherheitslücken für Open Source.

Erschreckenderweise enthielten auch in der Finanzindustrie 60 Prozent der geprüften Anwendungen High-Risk-Schwachstellen. Darüber hinaus zeigte die COSRI-Analyse, dass 83 Prozent der geprüften Anwendungen in der Einzelhandels- und E-Commerce-Branche ebenfalls bekannte High-Risk Open-Source-Schwachstellen enthielten. Im Durchschnitt waren die identifizierten Open-Source-Schwachstellen in den geprüften Anwendungen mehr als vier Jahre lang bereits bekannt.

In einer Zeit, in der hochleistungsfähige Automatisierungssysteme für Unternehmen Aktiengeschäfte in Echtzeit ausführen, dokumentieren viele große, erfolgreiche Unternehmen die verwendete Open Source in statischen Kalkulationstabellen. Open-Source-Software, einst lediglich ein kleiner Teil der Technologielandschaft, ist heute weltweit in Softwareanwendungen allgegenwärtig, weil sie die Entwicklungskosten senkt, Innovationen ermöglicht und die Markteinführung beschleunigt. Unternehmen wie Netflix, Uber oder Amazon nutzen Open Source, um ihre Märkte zu spalten und zu revolutionieren; und der Einsatz von Open Source wird sich in den kommenden Jahren sicherlich weiter beschleunigen. Ein effektives Management und die Sicherheit von Open Source werden daher zunehmend an Bedeutung gewinnen.

Open-Source-Management

Im Gegensatz zu kommerzieller Software - zum Beispiel Microsoft - werden kritische Sicherheitsupdates für Open Source nicht an die Nutzer wie Equifax herangetragen, sobald sie verfügbar sind. Bei Open Source ist es die Aufgabe der Nutzer zu wissen, welche Open Source sie verwenden, und sich über Patches, Fixes und Upgrades zu den Open-Source-Paketen zu informieren. Wie die COSRI-Audit-Analyse zeigt, tun viele Unternehmen dies jedoch nicht.

Der effektivste Weg für Unternehmen, Sichtbarkeit und Kontrolle über die Open Source in den Anwendungen und Websites zu erhalten, ist die Verwendung automatisierter Prozesse. Damit können sie ihre Anwendungen auf Open Source scannen, ein Inventar ihrer Open-Source-Komponenten erstellen und dann die verwendete Open Source den Open-Source-Schwachstellen-Datenbanken zuordnen. Dies ermöglicht es, alle bekannten Schwachstellen zu identifizieren und dann das Inventar auf alle neu gemeldeten Open-Source-Schwachstellen hin zu überwachen.

Mit dieser Sichtbarkeit und Kontrolle können sich Organisationen und ihre Kunden effektiv vor unterschiedlichen Arten von Open-Source-Exploits schützen, die Equifax und fast 150 Millionen derer Kunden nun betreffen. Organisationen können das Durcheinander, das gerade vor sich geht, vermeiden, indem sie festzustellen, ob sie ebenfalls von der Schwachstelle betroffen sind, die Equifax in sehr unerwünschtes Licht gestellt hat. Möglich ist dies unter anderem mit dem Threat Check for Struts von Black Duck, der Anwendungen und Container auf Struts-Schwachstellen hin analysiert. Denn Open-Source-Software gewinnt in allen Bereichen der Technologie an Bedeutung: Anwendungsentwicklung, Container, Cloud, Internet der Dinge.

Über den Autor: Lou Shipley ist CEO bei Black Duck Software.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45056281 / Sicherheitslücken)