ŞEVA’YA SORUN, İsrail, 23 Şubat 2023 /PRNewswire/ — Dayanıklılık bugün şirketin yeni araştırması olan “Hiding in Plain Sight: Hidden Vulnerabilities in Popular Open Source Containers”ın yayınlandığını duyurdu.
Araştırma, toplu olarak milyarlarca kez indirilen yüzlerce popüler kapsayıcı görüntüsünde gizlenmiş çok sayıda yüksek önem dereceli/kritik güvenlik açığını ortaya çıkardı. Bu, genel olarak bilinen istismarlara sahip yüksek profilli güvenlik açıklarını içerir. Bazı gizli güvenlik açıklarının vahşi ortamda aktif olarak kullanıldığı biliniyor ve CISA’nın bilinen istismar edilen güvenlik açıkları kataloğunun bir parçası. CVE-2021-42013, CVE-2021-41773, CVE-2019-17558.
Bu bulgu, önde gelen açık kaynaklı ve ticari güvenlik açığı tarayıcıları ve SCA araçları için ilk kalite değerlendirmesi olan ve Ekim ayında yayınlanan araştırmanın I. Bölümünü takip ediyor. Güvenlik açığı tarayıcı kıyaslama anketi, yanlış pozitif ve negatif sonuçlar da dahil olmak üzere tarayıcı yanlış tanımlamalarının en yaygın nedenlerini keşfetti.
Yeni araştırma, değerlendirmede belirlenen temel nedenlerden birini daha derinlemesine inceliyor – paket yöneticileri tarafından yönetilmeyen yazılım bileşenlerinin algılanamaması. Çalışma, standart güvenlik açığı tarayıcılarının ve SCA araçlarının doğal çalışma yönteminin, taranan ortamda hangi paketlerin var olduğunu bilmek için paket yöneticilerinden veri almaya nasıl dayandığını ve bunların, yazılımın konuşlandırıldığı birden çok yaygın senaryoda güvenlik açığı bulunan yazılım paketlerini kaçırmaya karşı duyarlı hale getirdiğini açıklıyor. bu paket yöneticilerini atlatan şekillerde. Bu araştırma, bu boşluğun ne kadar geniş olduğunu ve bunun üçüncü taraf yazılım kullanan kuruluşlar üzerindeki etkisini tam olarak göstermektedir. Rapor, bu tür düzinelerce gizli güvenlik açığı içeren en popüler liman işçisi konteyner görüntülerinden bazılarının gerçek dünyadan çok sayıda örneğini sunuyor. Rapor ayrıca araştırmada sunulan riski en aza indirmeye yönelik öneriler de sunuyor.
Rapora göre, dağıtım yöntemlerini atlatan paket yöneticileri Docker kapsayıcılarında son derece yaygın. Araştırma ekibi, DockerHub’ın resmi kapsayıcı görüntülerinin çoğu da dahil olmak üzere, paket yöneticilerini atlayacak şekilde kod dağıtan 100.000’den fazla kapsayıcı görüntüsü belirledi. Bu kaplar ya zaten gizli güvenlik açıkları içerir ya da bu bileşenlerden birinde bir güvenlik açığı belirlenirse gizli güvenlik açıklarına sahip olma olasılığı yüksektir.
Rapor, uygulamanın kendisi, uygulamanın çalışması için gereken çalıştırma süreleri, uygulamanın çalışması için gerekli olan bağımlılıklar ve dağıtım/oluşturma için gerekli bağımlılıklar gibi, yazılımın paket yöneticileriyle etkileşim olmadan dağıtıldığı dört farklı senaryo tanımlar. kapsayıcı görüntü oluşturma işleminin sonunda silinmeyen uygulamanın süreci ve gizli güvenlik açıklarının kapsayıcı görüntülere nasıl ulaşabildiğini gösterir.
“Bu araştırmanın, geliştiricileri ve güvenlik uygulamacılarını bu boşluğun varlığı konusunda eğiteceğini umuyoruz, böylece riski en aza indirmek için uygun eylemleri gerçekleştirebilecekler ve satıcıları ve açık kaynak projelerini bu tür senaryolara destek eklemeye zorlayacaklar. ” söz konusu Yotam Perkal, Direktör, Rezilion Güvenlik Açığı Araştırması. “Güvenlik açığı tarayıcıları ve SCA araçları bu durumlara uyum sağlamadığı sürece, paketleri veya yürütülebilir dosyaları bu şekilde yükleyen herhangi bir kapsayıcı görüntüsünün, bu bileşenlerden herhangi biri savunmasız hale gelirse sonunda ‘gizli’ güvenlik açıkları içerebileceğini not etmek önemlidir.”
Raporun tamamını indirmek için lütfen şu adresi ziyaret edin: https://info.rezilion.com/scanner-research-part-ii
Rezilion Hakkında:
Rezilion’un yazılım tedarik zinciri güvenlik platformu, kullandığınız ve teslim ettiğiniz yazılımın risksiz olduğunu otomatik olarak garanti eder. Rezilion, yazılım yığınının herhangi bir katmanında üçüncü taraf yazılım bileşenlerini algılar ve taşıdıkları gerçek riski anlayarak belirlenen güvenlik açıklarının %95’e kadarını filtreler. Rezilion daha sonra otomatik olarak SDLC genelinde kötüye kullanılabilir riski azaltır, güvenlik açığı birikmelerini ve iyileştirme zaman çizelgelerini aylardan saatlere indirirken DevOps ekiplerine derleme için geri zaman tanır.
Rezilion’un platformu hakkında daha fazla bilgiyi şu adreste bulabilirsiniz: www.rezilion.com ve 30 günlük ücretsiz deneme süresi elde edin.