Eingehende Analyse der Open Source-Sicherheitsschwachstellen, die für DevOps- und DevSecOps-Teams am wichtigsten sind
2023 JFrog Bericht zur Sicherheitsforschung
KURZER ÜBERBLICK
Dieser Bericht soll Entwicklern, DevOps-Ingenieuren, Sicherheitsforschern und Verantwortlichen für Informationssicherheit einen aktuellen und relevanten Einblick in die Schwachstellen geben, die genutzt werden, um Risiken in ihre Software-Lieferketten einzubringen. Die hier zur Verfügung gestellten Informationen helfen Ihnen, fundierte Entscheidungen darüber zu treffen, wie Sie die Prioritäten bei der Behebung aller bekannten Software-Schwachstellen setzen, um potenzielle Auswirkungen zu minimieren und die Sicherheit Ihrer Produkte und Dienste zu gewährleisten.
JFrog ist in einer einzigartigen Position, um die Auswirkungen von Sicherheitsschwachstellen auf Software-Artefakte, die in den heutigen FORTUNE 100 Unternehmen im Einsatz sind, detailliert zu erfassen. Daher hat das JFrog Security Research Team diese erste Ausgabe des jährlichen JFrog Critical Vulnerability Exposures (CVEs) Reports zusammengestellt, der eine eingehende Analyse der 10 häufigsten Schwachstellen des Jahres 2022, ihres “tatsächlichen” Schweregrades und der besten Praktiken zur Abschwächung der potenziellen Auswirkungen jeder einzelnen Schwachstelle enthält. Die hierin enthaltenen Schwachstellen sind nach der Anzahl der von ihnen betroffenen Software-Artefakte von hoch bis niedrig sortiert.
Methodik
Als designierte CNA überwacht und untersucht das JFrog Security Research Team regelmäßig neue Schwachstellen, um deren wahren Schweregrad zu verstehen und veröffentlicht diese Informationen zum Nutzen der Community und aller JFrog Kunden. Dieser Bericht basiert auf einer Auswahl der Schwachstellen, die im Kalenderjahr 2022 am häufigsten durch anonyme Nutzungsstatistiken der JFrog Platform entdeckt wurden.
Zu jeder Schwachstelle gehört eine Zusammenfassung des kommerziellen Status und des Schweregrads des Problems sowie eine ausführliche Analyse jeder Schwachstelle, die mehrere neue technische Details zu den Auswirkungen auf die heutigen Unternehmenssysteme aufzeigt. So können die Sicherheitsteams besser einschätzen, ob sie tatsächlich von den einzelnen Problemen betroffen sind. Diese Analyse bildet die Grundlage des JFrog Security Research Schweregrad-Rating für jede der 10 häufigsten CVEs im Jahr 2022, umreißt wichtige Erkenntnisse, die aus jedem dieser CVEs gewonnen wurden, und bietet Anleitungen, um Ihre Sicherheitslage für 2023 zu verbessern.
Zusätzlich zu jeder detaillierten CVE-Bewertung enthält dieser Bericht eine Trendanalyse der Gesamtzahl der CVEs aus den Vorjahren, die dieselben Softwarekomponenten betrafen, um daraus abzuleiten, welche Softwarekomponenten wahrscheinlich auch im Jahr 2023 noch anfällig sein werden.
INHALT
- Glossar
- Kurzer Überblick
- Wichtigste Ergebnisse
- JFrog Sicherheitsempfehlungen für 2023
- Schwachstellenanalyse und Ergebnisse
- #1 CVE-2022-0563 – Datenleck in util-linux
- #2 CVE-2022-29458 – Denial of Service in ncurses
- #3 CVE-2022-1304 – Lokale Privilegieneskalation in e2fsprogs
- #4 + #5 CVE-2022-42003 / CVE-2022-42004 – Denial of Service in Jackson-databind
- #6 CVE-2022-3821 – Denial of Service in systemd
- #7 CVE-2022-1471 – Remote-Code-Ausführung in SnakeYAML
- #8 + #9 + #10 CVE-2022-41854 / CVE-2022-38751 / CVE-2022-38750 – Denial of Service in SnakeYAML
- Biografien der Autoren
GLOSSAR
Die folgenden Begriffe werden in diesem Dokument verwendet.
| CVE | Common Vulnerabilities and Exposures = Gemeinsame Schwachstellen und Gefährdungen. Eine Liste zur Klassifizierung von Schwachstellen, das vom NVD (einem Normenarchiv der US-Regierung) verwaltet wird. In diesem Bericht wird eine öffentlich bekannte Schwachstelle mit einer eindeutigen ID wie CVE-2022-3602bezeichnet. | ||||||||||||
| CVSS | Common Vulnerability Scoring System = Gemeinsames System zur Bewertung von Schwachstellen. Ein Schweregrad der Schwachstelle, der von 0 bis 10 (gravierendste Schwachstelle) reicht und für jede CVE vergeben wird. Die Punktzahl gibt an, wie schwer die Schwachstelle auszunutzen ist und wie viel Schaden sie anrichten kann, wenn sie ausgenutzt wird. Die Bewertung soll den Benutzern helfen zu entscheiden, welche Schwachstellen unbedingt behoben werden müssen. | ||||||||||||
| CNA | CVE Numbering Authority = CVE-Nummerierungsbehörde. Gruppen, die vom CVE-Programm autorisiert sind, Schwachstellen CVE-IDs zuzuweisen und CVE-Datensätze innerhalb ihres eigenen spezifischen Abdeckungsbereichs zu veröffentlichen. | ||||||||||||
| NVD-Schweregrad | Die Schweregradeinstufung einer CVE in der National Vulnerability Database (NVD), offiziell definiert durch den CVSS-Wert gemäß den folgenden Bereichen –
|
||||||||||||
| JFrog Schweregrad | Der Schweregrad der CVE laut Definition des Security Research Team von JFrog. Für den Schweregrad werden folgende Stufen verwendet: Niedrig, Mittel, Hoch, Kritisch | ||||||||||||
| Betroffene Artefakte | Die Anzahl der Artefakte in der Artifactory Cloud von JFrog, die laut einer bestimmten CVE als verwundbar festgestellt wurden. Auf der Grundlage anonymer Nutzungsstatistiken aus der JFrog Artifactory Cloud. |
BIOGRAFIEN DER AUTOREN
Unser engagiertes Team aus Sicherheitsexperten und Forschern hat es sich zur Aufgabe gemacht, die Softwaresicherheit durch die Erkennung, Analyse und Aufdeckung neuer Schwachstellen und Angriffsmethoden zu verbessern.
Bleiben Sie auf dem Laufenden mit JFrog Security Research. Verfolgen Sie die neuesten Entdeckungen und technischen Updates des JFrog Security Research Teams in unseren Blogbeiträgen zur Sicherheitsforschung und auf Twitter unter @JFrogSecurity.
Shachar Menashe
Shachar Menashe ist Senior Director von JFrog Security Research. Mit über 17 Jahren Erfahrung in der Sicherheitsforschung, einschließlich Low-Level-F&E, Reverse Engineering und Schwachstellenforschung, ist Shachar für die Leitung eines Forscherteams verantwortlich, das neue Sicherheitsschwachstellen und bösartige Pakete entdeckt und analysiert. Er kam durch die Übernahme von Vdoo im Juni 2021 zu JFrog, wo er als Vice President of Security tätig war. Shachar hat einen Bachelor of Science in Elektronik und Informatik an der Universität Tel-Aviv erworben.
Yair Mizrahi
Yair Mizrahi ist ein leitender Schwachstellenforscher bei JFrog Security. Yair verfügt über mehr als ein Jahrzehnt Erfahrung und ist auf die Erforschung von Schwachstellen und Reverse Engineering spezialisiert. Er ist für die Ermittlung und Analyse neuer Sicherheitsschwachstellen zuständig. Darüber hinaus entdeckte Mizrahi als Android-Schwachstellenforscher verschiedene Zero-Days und nutzte mehrere Zero-Klicks aus.
