Meeste zakelijk gebruikte apps met open source-componenten bevatten kritiek lek

Meeste zakelijk gebruikte apps met open source-componenten bevatten kritiek lek

09-08-2021 | door: Martijn Kregting

Meeste zakelijk gebruikte apps met open source-componenten bevatten kritiek lek

Bijna alle zakelijk gebruikte standaard-apps met open source-onderdelen, bevatten kritieke lekken. Veel organisaties en hun security-teams weten echter niet dat de gebruikte software gebaseerd is op opensource-componenten. Zij zijn daarom niet alert op mogelijke lekken. Dat stelt Osterman Research in een recent rapport waarin het circa 40 standaard-apps tegen het licht houdt.

De bevindingen in het rapport duiden op een ernstige zwakte in de softwaretoeleveringsketen van veel veelgebruikte commerciële kant-en-klare softwaretoepassingen. Uit de resultaten bleek dat alle applicaties in vijf veelvoorkomende softwarecategorieën (webbrowsers, e-mail, het delen van bestanden, online vergaderingen en berichtenuitwisseling) kwetsbare open source-componenten bevatten die het risico op succesvolle cyberaanvallen vergroten.

85 procent minimaal één kritiek lek

Gemiddeld bevat 30 procent van alle onderzochte open source-componenten minsten één lek dat bekend is en een CVE-identificatie heeft. 85 procent bevat minimaal één kritiek lek, van het niveau CVSS 10.0. Zo werden twee versies van een open source-component van browser Firefox met kritieke lekken aangetroffen bij drie kwart van alle apps met kritieke lekken. De categorie e-mail en meeting clients bevat de meest kwetsbare apps met gemiddeld de meeste lekken van het hoogste niveau.

Osterman gebruikte voor het onderzoek software van GrammaTech, waarmee kan zoeken naar opensourcecomponenten in de binary packaging van veelgebruikte applicaties. Toegang tot de broncode is daarbij niet nodig. GrammaTech gebruikte zijn CodeSentry-beveiligingsplatform voor de toeleveringsketen van software om veelgebruikte softwaretoepassingen te analyseren op de aanwezigheid van open-sourcecomponenten en kwetsbaarheden.

Enkele van de belangrijkste conclusies op een rij:

  • Toepassingen in de categorieën vergader- en e-mailclients zijn het meest kwetsbaar.
  • 100 procent van alle geanalyseerde applicaties bevat kwetsbare open-sourcecomponenten.
  • Kritieke kwetsbaarheden (CVSS 10.0) worden gevonden in 85 procent van deze applicaties.
  • Deze veelgebruikte applicaties vormen een ernstig cyberbeveiligingsrisico voor organisaties.
Terug naar nieuws overzicht