Ο αριθμός των ευπαθειών σε λογισμικά ανοιχτού κώδικα που είναι γνωστά διεθνώς ως OSS (Open Source Software), υπερδιπλασιάστηκε το 2019 σε σύγκριση με το 2018. Ενδεικτική καταγραφή της κατάστασης αυτής αποτελεί η έκθεση της αμερικάνικης εταιρείας RiskSense, η οποία εδρεύει στο New Mexico των ΗΠΑ και παρέχει διαχείριση ευπάθειας και μέτρηση του κινδύνου ασφάλειας στον κυβερνοχώρο. Σύμφωνα με την έκθεση της RiskSense, το σύνολο των κοινών ευπαθειών και εκτιθέμενων σημείων που αναφέρονται ως CVEs (Common Vulnerabilities and Exposures) έφτασε τον αριθμό των 968 πέρυσι, από 421 το 2018, σημειώνοντας αύξηση κατά 130%.

Τα CVEs παρέμειναν σε ιστορικά υψηλά επίπεδα και τους τρεις πρώτους μήνες του 2020, γεγονός που υποδηλώνει ότι πρόκειται για μια μακροπρόθεσμη τάση. Η έκθεση αποκαλύπτει επίσης ότι μετά τη δημόσια αποκάλυψή τους, οι ευπάθειες των OSS χρειάζονται κατά μέσο όρο 54 ημέρες για να προστεθούν στην Εθνική Βάση Δεδομένων Ευπάθειας NVD (National Vulnerability Database), η οποία αποτελεί το αποθετήριο δεδομένων διαχείρισης ευπάθειας της αμερικάνικης κυβέρνησης. Η καθυστέρηση αυτή σημαίνει ότι οι οργανισμοί εκτίθενται συχνά σε σοβαρούς κινδύνους ασφαλείας εφαρμογών για περίπου δύο μήνες. Καθυστερήσεις παρατηρήθηκαν σε όλες τις σοβαρές ευπάθειες, συμπεριλαμβανομένων εκείνων που χαρακτηρίζονται ως «κρίσιμες» και αυτών που μετατρέπονται σε επικίνδυνα όπλα.

Τα OSS που είχαν τα περισσότερα τρωτά σημεία CVEs ήταν ο διακομιστής αυτοματισμού Jenkins (646) και το σύστημα διαχείρισης βάσεων δεδομένων MySQL (624), καθένα από τα οποία είχε 15 επικίνδυνα οπλισμένες ευπάθειες. Επίσης, το Vagrant του HashiCorp που είναι ένα εργαλείο για τη δημιουργία και τη συντήρηση φορητών εικονικών περιβαλλόντων ανάπτυξης λογισμικού, είχε μόνο 9 CVEs, αλλά πολύ υψηλό αριθμό (6) οπλισμένων ευπαθειών. Άλλα OSS που βρέθηκαν με ευπάθειες, οι οποίες τα καθιστούν εξαιρετικά ευάλωτα σε επιθέσεις, ήταν το
Apache Tomcat που αποτελεί υλοποίηση τεχνολογιών Java, η πλατφόρμα ηλεκτρονικού εμπορίου Magneto, η αυτοματοποιημένη πλατφόρμα ανάπτυξης, κλιμάκωσης και διαχείρισης εφαρμογών Kubernetes, η μηχανή αναζήτησης πραγματικού χρόνου και ανάλυσης δεδομένων Elasticsearch και η πλατφόρμα εκτέλεσης εφαρμογών Java, JBoss.

Οι αδυναμίες στη δημιουργία σεναρίων μεταξύ διασταυρούμενων ιστότοπων ήταν η δεύτερη πιο κοινή μορφή ευπαθειών, που αποτελούσαν και τις πιο επικίνδυνα οπλισμένες, ενώ τα ζητήματα που αφορούσαν επικύρωση εισόδου ήταν η τρίτη πιο κοινή και η δεύτερη πιο επικίνδυνη ευπάθεια. Επιπλέον, η μελέτη έδειξε ότι ορισμένες άλλες αδυναμίες, όπως ζητήματα απο-σειριοποίησης (28) και εγχύσεις κώδικα (16) ήταν πολύ λιγότερο συχνές, παραμένοντας όμως ιδιαίτερα δημοφιλείς σε ενεργές εκστρατείες επιθέσεων. Τοποθετούμενος σχετικά με τα συμπεράσματα της έρευνας, ο Διευθύνων Σύμβουλος της RiskSense, Srinivas Mukkamala, εξήγησε χαρακτηριστικά ότι παρόλο που ο ανοιχτός κώδικας θεωρείται συχνά πιο ασφαλής από το εμπορικό λογισμικό, καθώς υποβάλλεται σε αναθεωρήσεις πολλών πηγών για να μπορεί να εντοπίζει προβλήματα, η μελέτη αυτή μας δείχνει ότι οι ευπάθειες στα λογισμικά ανοιχτού κώδικα αυξάνονται και θα μπορούσαν να οδηγήσουν σε αδιέξοδο πολλούς από τους υπάρχοντες οργανισμούς. Δεδομένου μάλιστα ότι ο ανοιχτός κώδικας χρησιμοποιείται και επαναχρησιμοποιείται παντού σήμερα, κάθε φορά που θα εντοπίζονται ευπάθειες είναι πιθανό να προκαλούνται ζητήματα που θα έχουν απίστευτα εκτεταμένες συνέπειες.

Χάρης Ματθαίου

Editorial, NoW 17