Il 95% delle applicazioni sviluppate presenta codici opensource e di queste, il 67% presenta delel vulnerabilità. A rivelarlo una ricerca durata sei mesi in cui gli analisti di Black Duck hanno rilevato come il 10% delle applicazioni testate includeva la vulnerabilità Heartbleed (rilasciata oltre 18 mesi prima dello studio), circa il 10% includeva Poddle e il 5% era infettata da Freak. Quasi il 40% delle vulnerabilità scoperte ha ricevuto un punteggio CVSS di 7.0 o superiore (corrispondente al livello di alta gravità), mentre un altro 52% è stata considerata di media entità (con un punteggio CVSS tra 4.0 e 6.9).
Aziende poco consapevoli
Black Duck, nella pubblicazione The State of Open Source Security in Commercial Applications, ha riportato che un’applicazione commerciale è composta in media da software open source per oltre il 35% e le applicazioni contengono mediamente più di 100 componenti open source unici. Inoltre, i ricercatori hanno sottolineato che le aziende interpellate si sono rivelate consapevoli solo del 45% dei componenti effettivamente utilizzati.
“Per i fornitori – fa notare Paul Vixie, CEO di Farsight Security – è più importante avere un rapido time-to-market, un alto livello di funzionalità e prezzi comptetitivi. La sicurezza, spesso, è qualcosa che passa in secondo piano e capita che aggiornamenti e patch non siano proprio presi in considerazione. Penso che sia ragionevole supporre che la maggior parte dei bug non avranno mai una soluzione”. Nel frattempo, OpenSSL ha implementato patch per sei vulnerabilità, di cui due di “alta gravità”, anche se non sono stati trovati exploit in circolazione per nessuna delle vulnerabilità. La famosa libreria crittografica open source ha avvisato gli utenti con una settimana di anticipo in merito alle patch che sarebbero state messe a disposizione. Le due vulnerabilità di particolare gravità erano CVE-2016-2108 (che può causare corruzione di memoria applicativa) e CVE-2016-2107 (che potrebbe consentire a un utente malintenzionato di decifrare il traffico).
Payroll, Remote Desktop Protocol e Samsung: tre esempi di attacco
La compagnia Payroll ha subito un attacco e, secondo quanto riporta il giornalista Brian Krebs, gli hacker sono riusciti ad accedere a una piccola parte di dati dei clienti. L’incidente è venuto alla luce dopo che la US Bank ha avvertito alcuni dei suoi dipendenti che gli aggressori con accesso ai dati personali di un dipendente – nome, data di nascita e numero di previdenza sociale – avrebbero potuto creare un account sul portale ADP al nome del dipendente e ottenere così l’accesso ai suoi dati. Con questi ultimi, gli hacker avrebbero quindi potuto presentare una dichiarazione dei redditi e ricevere in modo fraudolento il rimborso fiscale del dipendente. La società di sicurezza informatica olandese Fox-IT, invece, ha raccontato di un caso in cui i cybercriminali hanno sfruttato delle falle nel Remote Desktop Protocol (RDP) per diffondere ransomware; RDP è un protocollo proprietario offerto inizialmente da Microsoft per l’utilizzo in Windows XP e ancora ampiamente utilizzato per abilitare il controllo da remoto del desktop Windows.
Alcune vulnerabilità in RDP sono state a lungo sfruttate per denial of service e per l’esecuzione di codici remoti ma ultimamente si sono riscontrati anche casi di propagazione dei ransomware. Gli scienziati informatici della University of Michigan, invece, hanno scoperto dei problemi di sicurezza nelle applicazioni Samsung SmartHome: secondo il team di ricerca, una volta installate, alle SmartApps viene concesse pieno accesso a un dispositivo, mentre viene specificato che necessitano soltanto di un accesso limitato. I ricercatori sono stati in grado di sfruttare il framework e costruire quattro attacchi proof-of-concept con cui hanno segretamente inserito nuovi codici di blocco delle porte, rubato quelli già esistenti, disattivato la modalità vacanze in casa e indotto un allarme antincendio falso.