Acunetix Web Application Vulnerability Report 2021 – Οι πιο συχνές ευπάθειες
Κάθε χρόνο, η Acunetix προσφέρει μια ανάλυση των πιο συχνών ευπαθειών στη διαδικτυακή ασφάλεια και στην ασφάλεια της δικτυακής περιμέτρου. Η ετήσια αναφορά για τις ευπάθειες διαδικτυακών εφαρμογών (που τώρα αποτελεί μέρος του δείκτη Invicti AppSec) βασίζεται σε πραγματικά δεδομένα που λαμβάνονται από το Acunetix Online. Η εταιρεία επιλέγει με τυχαίο τρόπο ιστοσελίδες και διαδικτυακές εφαρμογές που σαρώνονται χρησιμοποιώντας το λογισμικό της, τις ανωνυμοποιεί και πραγματοποιεί σχετική στατιστική ανάλυση. Παρακάτω παρουσιάζονται τα ευρήματα της στην κυβερνοασφάλεια για το έτος.
Η κατάσταση στην ασφάλεια διαδικτυακών εφαρμογών
Η έκθεση της εταιρείας για το 2021 είναι, δυστυχώς, αρκετά απαισιόδοξη. Η τάση βραδείαw βελτίωσης από τα προηγούμενα χρόνια φαίνεται να έχει αντιστραφεί. Αρκετές ευπάθειες υψηλής και μεσαίας σοβαρότητας συναντώνται πλέον πιο συχνά το 2021 από ότι το 2020, συμπεριλαμβανομένων και ορισμένων σοβαρών κινδύνων για την ασφάλεια που μπορεί να οδηγήσουν στην απώλεια ευαίσθητων πληροφοριών.
Η εταιρεία πιστεύει ότι αυτή η αντιστροφή έχει προκληθεί από την πανδημία COVID-19. Η πανδημία έχει οδηγήσει τις περισσότερες εταιρείες να υϊοθετήσουν μοντέλα απομακρυσμένης εργασίας και ως εκ τούτου πολλοί ηγέτες στον κλάδο της κυβερνοασφαλείας αποφάσισαν να επικεντρωθούν στην ασφάλεια των τερματικών συσκευών, στην ασφάλεια του λειτουργικού συστήματος και σε προσπάθειες ενάντια στο κακόβουλο λογισμικό, για να καταπολεμήσουν το ηλεκτρονικό ψάρεμα, τις κακόβουλες ιστοσελίδες και τον κακόβουλο κώδικα. Επομένως, δεν επενδύθηκαν αρκετοί πόροι για τη βελτίωση της διαδικτυακής ασφάλειας. Αντί λοιπόν να γίνουν επενδύσεις σε διεξοδικές διαδικασίες, οι επιχειρήσεις επέλεξαν τις γρήγορες και ατελείς λύσεις, που συχνά βασίζονται σε μη σωστά διαμορφωμένα τείχη προστασίας διαδικτυακών εφαρμογών (WAF).
Σύμφωνα με την Acunetix, τέτοιες αποφάσεις θα μπορούσαν να έχουν σοβαρές συνέπειες στο μέλλον. Ως αποτέλεσμα της μετάβασης στην τηλεργασία, η σημασία των διαδικτυακών εφαρμογών αυξήθηκε. Για να ενισχυθεί η παραγωγικότητα και η αποτελεσματικότητα της τηλεργασίας, δεν ήταν λίγες οι επιχειρήσεις που κατέστησαν διαθέσιμες τις διαδικασίες τους μέσω προγραμμάτων περιήγησης ιστού, χρησιμοποιώντας διαδικτυακές εφαρμογές και APIs. Το παραπάνω ωστόσο κατέστησε δυνατή την πρόσβασης σε εταιρικά δεδομένα μέσω ιστοσελίδων για ορισμένους επιτιθέμενους, κάτι που με τη σειρά του θα μπορούσε να οδηγήσει σε σοβαρή παραβίαση δεδομένων.
Στη πρόσφατη μελέτη της Forrester Research, The State of Application Security 2021, τα SQL injection, cross-site scripting και remote file inclusion αποτέλεσαν τις πλέον κοινότυπες μεθόδους επίθεσης που αναφέρθηκαν. Στη μελέτη έλαβαν μέρος 480 υπεύθυνοι λήψης αποφάσεων σε παγκόσμιο επίπεδο με αρμοδιότητες σε δίκτυα, κέντρα δεδομένων, στην ασφάλεια εφαρμογών ή στην επιχειρησιακή ασφάλεια και οι οποίοι βρέθηκαν αντιμέτωποι με μία εξωτερική επίθεση πέρυσι (2020).
Η κρίση των προγραμματιστών
Με τη μετάβαση στην τηλεργασία, η ανάπτυξη διαδικτυακού λογισμικού αντιμετωπίζει εξίσου πολλά προβλήματα, και όχι μόνο την έλλειψη πόρων. Ακόμη και πριν από την εποχή της τηλεργασίας, οι προγραμματιστές συχνά δυσκολεύονταν να γράψουν ασφαλή κώδικα, έκαναν κοινότυπα λάθη λειτουργικότητας, παρέλειπαν την επικύρωση, εμπιστεύονταν δεδομένα εισαγωγής χρηστών από μη αξιόπιστες πηγές, διαβίβαζαν μη αξιόπιστα δεδομένα απευθείας σε ερωτήματα SQL, χρησιμοποιούσαν ανασφαλή αναγνωριστικά περιόδου σύνδεσης χρήστη και μηχανισμούς διαχείρισης συνεδριών κ.ά.
Τα νέα απομακρυσμένα περιβάλλοντα εργασίας καθιστούν ακόμη πιο δύσκολο για τους προγραμματιστές να διατηρήσουν την ασφάλεια του κώδικα εφαρμογής λόγω των προκλήσεων σε επίπεδο επικοινωνίας. Οι προγραμματιστές δεν διαθέτουν επίσης τα εργαλεία και την απαραίτητη εκπαίδευση για να βελτιώσουν τις δεξιότητές τους σχετικά με την ασφάλεια στην περίπτωση που το κέντρο της προσοχής (όσον αφορά την ασφάλεια) μετατοπιστεί μακριά από λύσεις ασφάλειας διαδικτυακών εφαρμογών. Αν ωστόσο είχαν πρόσβαση σε επαγγελματικές λύσεις ασφαλείας διαδικτυακών εφαρμογών, θα λάμβαναν πληροφορίες όχι μόνο για την ύπαρξη ζητημάτων, αλλά και οδηγούς που θα τους έδειχναν πως να αποφεύγουν τέτοια σφάλματα στο μέλλον. Χωρίς τέτοια εργαλεία, οι προγραμματιστές απλώς θα δημιουργούν όλο και περισσότερες ευπάθειες.
Οι ευπάθειες με μια ματιά
Η έκθεση της Acunetix επικεντρώνεται σε κοινές ευπάθειες και εσφαλμένες διαμορφώσεις ασφαλείας – είναι οι ίδιες που επίσης μπορείτε να βρείτε στη λίστα Open Web Application Security Project – OWASP Top 10. Η Acunetix εντόπισε λιγότερα σφάλματα/ ελαττώματα SQL Injection και ζητήματα διάσχισης καταλόγου ή διάσχισης διαδρομής (path traversal) ωστόσο πολλά άλλα σοβαρά ζητήματα ήταν το ίδιο ή περισσότερο κοινά σε σχέση με το προηγούμενο έτος. Σε αυτά περιλαμβάνονται η απομακρυσμένη εκτέλεση κώδικα (έγχυση κώδικα), ζητήματα cross-site scripting (XSS), ευάλωτες βιβλιοθήκες JavaScript, ευπάθειες WordPress, πλαστογράφηση αιτημάτων από πλευράς διακομιστή (SSRF), επιθέσεις έγχυσης κεφαλίδας κ.ά.
Η έκθεση της Acunetix περιέχει επίσης δεδομένα σχετικά με άλλες γνωστές ευπάθειες και ζητήματα ασφάλειας λογισμικού, όπως το buffer overflow, η άρνηση εξυπηρέτησης υπηρεσίας και ευπάθειες DDoS, ζητήματα που σχετίζονται με τον έλεγχο πρόσβασης και ευπάθειες στον έλεγχο ταυτότητας, όπως οι αδύναμοι κωδικοί πρόσβασης, οι εσφαλμένες διαμορφώσεις web server και άλλα. Στην περίπτωση όλων αυτών των ζητημάτων, η τάση είναι ίδια: παρατηρείται μικρή αύξηση στους αριθμούς.
Προσοχή στις συνέπειες
Συμπερασματικά, η έκθεση Web Application Vulnerability Report 2021 τονίζει και πάλι τη σημασία της σάρωσης για διαδικτυακές ευπάθειες, ειδικά στην εποχή της ασθένειας COVID-19 και της τηλεργασίας. Ζητήματα που εντοπίστηκαν από σαρωτές όπως ο Acunetix μπορεί να έχουν σοβαρές συνέπειες και να οδηγήσουν στην έκθεση ευαίσθητων δεδομένων από την πλευρά του διακομιστή (server-side), όπως παραβιάσεις λογαριασμών χρηστών, κλοπή πληροφοριών πιστωτικών καρτών, παραβιάσεις ασφαλείας back-end βάσεων δεδομένων καθώς και επιθέσεις στα προγράμματα περιήγησης των θυμάτων από πλευράς client (client-side).
Διαβάστε την πλήρη έκθεση.
Πηγή: Acunetix