88% ứng dụng Java ẩn chứa các nguy cơ tiềm tàng

579

Veracode vừa mới công bố bản báo cáo “2017 State of Software Security Report” cho ta thấy rõ một hiện thực rõ ràng về các Java developer. Có tới hơn 88% số Java app có ẩn chứa ít nhất một component nguy hiểm. Vì sao? Đó là do các developer đã không patch lại những component đó dù đã xác định được chúng.

Công ty cũng cho biết báo cáo dựa vào kết quả từ việc scan hàng ngàn app với hàng tỉ những dòng code.

“Cứ 3 trong số 4 app được scan tồn tại ít nhất một mối nguy hiểm, với 12% app có mực độ cảnh báo là cực kì cao”, CA Veracode CTO Chris Wysopal viết trong bản báo cáo. “Chỉ có ít hơn một phần ba số app là đậu tiêu chuẩn OWASP. Với việc khoảng cách bảo mật ngày càng gia tăng khoảng cách, nhiều lỗi trong code với nguyên nhân giống nhau cũng gia tăng trong những năm gần đây. Tuy những số liệu trên rất đáng lo ngại nhưng nó vẫn được đánh giá là còn tích cực bởi có rất nhiều lỗi nữa mà chúng ta vẫn chưa khám phá ra”

Tuy rằng so với năm ngoài, số lượng lỗi tăng đến đột biến, tác giả chỉ ra rằng chúng đều đến từ các component được nâng cấp và những lỗi mới vừa được phát hiện.

Common Vulnerability Scoring System (CVSS) cung cấp một tiêu chuẩn mới để đánh giá mức độ nghiêm trọng của lỗ hổng bảo mật.

Trong đó, Struts 2 library là component có nguy cơ cao nhất. Cũng theo báo cáo, có tới 68% của Java apps đang sử dụng library có Struts-Shock.

Qua đó, có thể thấy kẻ xấu đã lợi dụng kẻ hỡ trong Struts-Shock để thực hiện các cuộc tấn công vào những app có sử dụng library đó.

“Những kẻ xấu hiểu rõ việc một lỗ hổng bảo mật có thể xuất hiện trên nhiều app khác nhau, và thường các tổ chức lại không hề biết về những lỗi này” – Báo cáo chỉ ra – “Open source và các components bên thứ 3 không có nghĩa là chúng ít an toàn hơn so với những code được phát triển in-house… Sử dụng phân tích thành phần software cùng lúc với static application scanning sẽ giúp bạn phát hiện ra những lỗ hổng bảo mật dễ dàng hơn”.

Techtalk via adtmag

CHIA SẺ