Trustwave raporu ayrıca 2022’nin kritik CVE’lerin hacmi için 2021’i geçecek şekilde ayarlandığını tespit ediyor
Bir rapora göre, Log4Shell güvenlik açığından etkilenen acil yama sistemleri, en kritik kusurlar için yama oranlarında daha geniş bir iyileşme ile aynı zamana denk geldi.
Neredeyse her yerde bulunan açık kaynaklı Java günlük kaydı aracı Apache Log4j’deki (CVE-2021-44228) uzaktan kod yürütme (RCE) kusuru, Aralık 2021’de ortaya çıktıktan sonra, ekosistemdeki kuruluşları uygulamaları veya yama sistemlerini düzeltmeye zorladı.
Sekiz ay sonra, 2022 Trustwave SpiderLabs Telemetri Raporu, kuruluşların “nihayetinde sağlam bir güvenlik duruşuna sahip olmanın gerekliliğini anladıkları” sonucuna varmıştır.
ÖNERİLEN Grafik tabanlı JavaScript hata tarayıcısı, Node.js kitaplıklarında 100’den fazla sıfır günü keşfeder
Trustwave SpiderLabs araştırmacıları tarafından gerçekleştirilen Shodan aramaları, 2021’in eşdeğer kusurlarına kıyasla 2022’nin en yüksek profilli güvenlik açıklarına karşı savunmasız etkilenen örneklerin oranında keskin bir düşüş olduğunu ortaya koydu.
Trustwave’de araştırma ve güvenlik taraması direktörü Alex Rothacker, “Güvenlik açığının ifşa edilmesinden düzeltme ekine kadar geçen süreler azaldı” dedi. Günlük Swig.
ünlü faktörü
Ayrıca, Log4j ve Spring Framework örneklerinin, F5’in BIG-IP’sinde ve Atlassian’ın bu cephelerde daha düşük profil sorunları olduğunu söylediği şeyleri geride bırakarak, güvenlik kusurlarının “ünlülük seviyesinin” hem yama oranlarına hem de yama hızlarına bağlı olduğunu fark etti.
Örneğin, Log4j çalıştıran en popüler ürünlerin 405.993 örneğinin yalnızca %0.36’sı, açıklardan yararlanmalar ortaya çıktıktan altı ay sonra ilk Log4Shell yamasına (sonraki baypasın aksine) karşı savunmasızdı.
Eşdeğer sayılar, açıklanmasından üç ay sonra ‘Spring4Shell’ (CVE-2022-22965) ile ilgili olarak bir başka popüler açık kaynaklı Java bileşeni olan Spring Framework’ün yamasız sürümlerini çalıştıran 452.520 örneğinin %0.075’iydi.
F5’in BIG-IP’sinde (CVE-2022-1388) ve Atlassian Confluence Server and Data Center’da (CVE-2022-26134) RCE’lere karşı savunmasız örnekler, ifşadan sonra sırasıyla 1.719’un %2.73’ü ve 7.074 ana bilgisayarın %4.44’ü idi – ancak ifşaat çok daha fazlaydı bu durumlarda son zamanlarda.
En son Log4j güvenlik açığı haberlerini yakalayın
Buna karşılık, Trustwave’in 2021 raporu, yama yayınlandıktan haftalar veya aylar sonra, benzer şekilde etkili üç güvenlik açığının her biriyle ilgili olarak örneklerin %50’sinden fazlasının savunmasız olduğunu buldu.
Rothacker, “Log4Shell, birçok kuruluş için bir eylem çağrısı gibi görünüyor” dedi. “Log4Shell için müşterilerden aldığımız sorunların ve iyileştirme yardımı taleplerinin hacmi benzeri görülmemiş düzeydeydi.”
Kritik kitle
Rapora göre, bu yıl hem yayınlanan CVE sayısı hem de kritik olan oranı açısından 2021’i rahat geçirme yolunda ilerliyor.
Örneğin, Rothacker, Ağustos ayının 2022 ve 2021’de 26 Ağustos itibariyle yayınlanan 3.779 CVE ile önceki tüm ayları çoktan aştığını, Temmuz ve Haziran’da sırasıyla 2.226 ve 2.377 gibi yüksek rakamlar gördüğünü söyledi.
Kritik güvenlik açıkları, 2021’deki CVE’lerin %13’üne kıyasla 2022 CVE’lerinin %18’ini oluşturuyor.
Rapor ayrıca, etkilenen bazı örneklerin 2016 yılına kadar uzanan CVE’lere karşı hala savunmasız olduğunu ve en yaygın hatanın CVE-2017-15906, şifreli uzaktan oturum açma aracı OpenSSH’deki bir sorun olduğunu keşfetti.
Varsayılan olarak çoğu Linux dağıtımında dağıtılmış olmasına rağmen, hatanın orta derecede önem derecesi, “büyük olasılıkla birçok kuruluşun bunu önemli bir sorun olarak görmemesi ve düzeltmeye öncelik vermemesi” anlamına geliyor Rothacker.
“Listelenen diğer güvenlik açıkları ya CVE-2018-15199 gibi daha az yaygın olarak kullanılan yazılımlar içindir ya da CVE-2018-1312 gibi, bunların istismar edilmelerini daha az olası kılan başka hafifletmelere veya kısıtlamalara sahiptir” diye ekledi.
2022 için ilk üç CWE sınıflandırması, siteler arası komut dosyası çalıştırma (XSS), SQL enjeksiyonu ve sınır dışı yazma hatalarıdır.
İLİŞKİLİ CWE Top 25: Bunlar 2022’nin en tehlikeli yazılım zayıflıkları