Analyse approfondie des vulnérabilités de sécurité open source les plus impactantes pour les équipes DevOps et DevSecOps
Rapport sur la recherche en sécurité de JFrog 2023
RÉSUMÉ DE L’EXÉCUTIF
Ce rapport est conçu pour fournir aux développeurs, aux ingénieurs DevOps, aux chercheurs en sécurité et aux responsables de la sécurité de l’information un contenu pertinent et opportun sur les vulnérabilités de sécurité visant à injecter des risques dans leurs chaînes d’approvisionnement logicielles. Les informations fournies dans le présent document vous aideront à prendre des décisions plus éclairées sur la manière de hiérarchiser les efforts de correction afin de traiter et d’atténuer l’impact potentiel de toutes les vulnérabilités logicielles connues, et de garantir ainsi la sécurité de vos produits et services.
JFrog est très bien placé pour détailler l’impact des failles de sécurité sur les artefacts logiciels réellement utilisés dans les entreprises du FORTUNE 100 d’aujourd’hui. Ainsi, l’équipe de recherche en sécurité de JFrog a compilé cette première édition du rapport annuel JFrog sur les vulnérabilités critiques (CVE) qui analyse de façon approfondie les 10 vulnérabilités les plus répandues en 2022, leur « vrai » niveau de gravité et les meilleures pratiques pour atténuer l’impact potentiel de chacune d’entre elles. Les vulnérabilités contenues dans ce document sont classées de haut en bas en fonction du nombre d’artefacts logiciels qu’elles ont affectés.
Méthodologie
En tant que CNA agréée, l’équipe JFrog Security Research surveille et enquête régulièrement sur les nouvelles vulnérabilités pour comprendre leur vrai niveau de gravité et publie ses conclusions pour qu’elles profitent à la communauté et à tous les clients de JFrog. Ce rapport repose sur un échantillon des vulnérabilités les plus souvent détectées au cours de l’année civile 2022 via les statistiques d’utilisation anonymes de la plateforme JFrog.
Chaque vulnérabilité comprend un résumé de l’état commercial et de la gravité du problème, ainsi qu’une analyse approfondie de chaque vulnérabilité, qui expose de nouvelles informations techniques sur son impact sur les systèmes d’entreprise d’aujourd’hui. Cela devrait permettre aux équipes de sécurité de mieux évaluer si elles sont réellement affectées par chacun de ces problèmes. Cette analyse établit l’indice de gravité JFrog Security Research pour chacune des 10 CVE les plus répandues en 2022, décrit les leçons notables tirées de chacune d’entre elles et offre des conseils qui vous aideront à améliorer votre posture face aux menaces pour 2023.
En plus d’évaluer de manière approfondie chaque CVE, ce rapport fournit une analyse des tendances du nombre total de CVE des années précédentes qui ont affecté les mêmes composants logiciels, afin de déduire quels composants logiciels sont susceptibles de rester vulnérables en 2023.
GLOSSAIRE
Les termes suivants sont utilisés tout au long de ce document.
| CVE | Vulnérabilités et expositions courantes. Un glossaire qui classe les vulnérabilités, géré par le NVD (un dépôt de normes du gouvernement américain). Utilisez ce rapport pour signaler « Une vulnérabilité bien connue, référencée par un ID unique, comme CVE-2022-3602” | ||||||||||||
| CVSS | Système commun d’évaluation des vulnérabilités. Un score de gravité de vulnérabilité allant de 0 à 10 (le score le plus grave), attribué à chaque CVE. Le score reflète la difficulté d’exploitation de la vulnérabilité et l’ampleur des dommages qu’elle peut causer une fois exploitée. Le score est destiné à aider les utilisateurs à décider quelles vulnérabilités doivent être corrigées prioritairement. | ||||||||||||
| CNA | Autorité de numérotation CVE. Groupes autorisés par le programme CVE à attribuer des ID CVE aux vulnérabilités et à publier des enregistrements CVE dans leurs propres zones de couverture spécifiques. | ||||||||||||
| Gravité NVD | L’indice de gravité de la base de données nationale des vulnérabilités (NVD) de toute CVE, officiellement défini par son CVSS selon les fourchettes suivantes :
|
||||||||||||
| Gravité JFrog | La gravité de la CVE, telle que définie par l’équipe de recherche en sécurité de JFrog. La gravité est classée selon les niveaux suivants : Basse, Moyenne, Élevée, Critique | ||||||||||||
| Artefacts impactés | Le nombre d’artefacts présents dans l’Artifactory Cloud de JFrog qui ont été trouvés vulnérables à une CVE spécifique. Basé sur les statistiques d’utilisation anonymes de JFrog Artifactory Cloud. |
BIOGRAPHIES DES AUTEURS
Notre équipe dédiée d’ingénieurs et de chercheurs en sécurité s’engage à faire progresser la sécurité logicielle grâce à la découverte, à l’analyse et à l’exposition des nouvelles vulnérabilités et méthodes d’attaque.
Tenez-vous au courant avec l’équipe JFrog Security Research. Suivez les nouveautés et les mises à jour techniques de l’équipe JFrog Security Research dans nos articles de blog sur la recherche en sécurité et sur Twitter à @JFrogSecurity.
Shachar Menashe
Shachar Menashe est directeur principal de JFrog Security Research. Riche de plus de 17 ans d’expérience dans la recherche en sécurité, dont la recherche et le développement de pointe, la rétro-ingénierie et la recherche sur les vulnérabilités, Shachar est chargé de diriger une équipe de chercheurs investis dans la découverte et l’analyse des vulnérabilités de sécurité émergentes et des packages malveillants. Il a rejoint JFrog lors de l’acquisition de Vdoo en juin 2021, où il occupait le poste de vice-président de la sécurité. Shachar détient un B.Sc. en génie électronique et en informatique de l’Université de Tel-Aviv.
Yair Mizrahi
Yair Mizrahi est chercheur principal en vulnérabilité chez JFrog Security. Mizrahi a plus de dix ans d’expérience et se spécialise dans la recherche de vulnérabilités et la rétro-ingénierie. Il est responsable de la découverte et de l’analyse des vulnérabilités de sécurité émergentes. En outre, Mizrahi a découvert plusieurs zero-day et a exploité plusieurs zero-click en tant que chercheur de vulnérabilités Android.
