
Sämtliche untersuchten Lösungen enthielten angreifbare Open-Source-Komponenten
GrammaTech, ein Anbieter von Tools zur Absicherung der Software-Anwendungssicherheit, hat die Ergebnisse einer gemeinsam mit Osterman Research durchgeführten Studie zum Stand der Sicherheit in Software-Lieferketten veröffentlicht. Der Bericht ergab, dass 100 % der getesteten kommerziellen Standardanwendungen (commercial off-the-shelf/COTS) Open-Source-Komponenten mit Sicherheitsschwachstellen enthielten. 85 % davon waren kritisch.
Von den am häufigsten getesteten Browser-, E-Mail-, Dateifreigabe-/Cloud-Speicher-, Online-Meeting- und Messaging-Produkten enthielten 85 % mindestens eine kritische Schwachstelle mit einem CVSS-Wert (Common Vulnerability Scoring System) von 10,0 – dem höchstmöglichen Wert. Gleichzeitig enthielten 30 % aller Open-Source-Komponenten aller getesteten Anwendungen mindestens eine Schwachstelle oder Sicherheitslücke, die mit einer CVE-Kennung (Common Vulnerabilities and Exposures) versehen war.
„Kommerzielle Standard-Softwarelösungen enthalten oft Open-Source-Komponenten. Viele davon weisen eine Reihe von bekannten Schwachstellen auf, die von Malware ausgenutzt werden können. Doch die Anbieter geben deren Vorhandensein oft nicht bekannt“, sagt Michael Sampson, Senior Analyst bei Osterman Research. „Dieser Mangel an Transparenz rund um eingesetzte und noch einzusetzende Anwendungen ist im Grunde eine Zeitbombe, die das Sicherheitsrisiko eines Unternehmens, die Angriffsfläche und das Potenzial für eine Kompromittierung durch Cyberkriminelle erhöht.“
Im Rahmen der Studie wurden weit verbreitete, clientbasierte COTS-Softwareprodukte in fünf Kategorien (Webbrowser, E-Mail, Dateifreigabe/Cloud-Speicher, Online-Meetings und Messaging) daraufhin untersucht, ob sie Open-Source-Komponenten enthalten und ob sie Sicherheitslücken aufweisen.
Einige der wichtigsten Ergebnisse waren:
Lösungen für Online-Meetings und E-Mail am anfälligsten
Anwendungen in den Kategorien Online-Meetings sowie E-Mail-Clients wiesen die höchste durchschnittliche Gewichtung der Schwachstellen auf. Angesichts der weit verbreiteten Nutzung dieser Tools sollten Unternehmen und Organisationen den Fokus darauf richten, ihre Angriffsfläche für Sicherheitsrisiken und das Potenzial für eine Kompromittierung besser zu verstehen.
Open-Source-Komponenten sind weit verbreitet
Ausnahmslos alle analysierten Anwendungen enthielten Open-Source-Komponenten. Im Durchschnitt enthielten dabei 30 % dieser Open-Source-Komponenten mindestens eine Schwachstelle oder Sicherheitslücke, der eine CVE-Kennung zugewiesen wurde.
Komponenten mit kritischen Sicherheitslücken werden häufig verwendet
Mit Ausnahme von drei Anwendungen enthielten alle in der Studie untersuchten Lösungen mindestens eine kritische Schwachstelle mit dem höchstmöglichen CVSS-Wert (10,0). Die nahezu allgegenwärtige Verwendung solcher hochgradig anfälligen Komponenten macht Vergleiche zwischen Anwendungen auf dieser Grundlage bedeutungslos, da alle Anwendungen als anfällig einzustufen sind.
Neuere Versionen der Komponenten sind nicht zwangsläufig sicherer
Mehrere Komponenten waren in den getesteten Anwendungen in unterschiedlichen Versionen vorhanden. Aber: Neuere Versionen waren dabei nicht immer sicherer, weder gemessen an der Anzahl der verwendeten angreifbaren Komponenten noch hinsichtlich der gewichteten Anzahl der Schwachstellen in jeder Komponente.
Komponenten mit den höchsten Risiken
Von den Komponenten, die in den analysierten Anwendungen identifiziert wurden, waren zwei Versionen der Open-Source-Komponente von Firefox (nicht der Browser selbst) für 75,8 % aller CVEs verantwortlich. An zweiter Stelle standen 16 Versionen von openssl, die zusammen 9,6 % der CVEs aufwiesen, sowie zwei Versionen von libav, die 8,3 % der CVEs ausmachten.
„Die meisten Unternehmen vertrauen darauf, dass Hersteller ihre Software frei von Mängeln halten. Wie die Analyse zeigt, müssen Unternehmen allerdings ihre eigene Qualitätskontrolle durchführen, um die Sicherheit der gekauften Software zu überprüfen“, sagt Vince Arneja, Chief Product Officer bei GrammaTech. „Die Pflege einer aktuellen Software-Stückliste, in der die Softwarekomponenten und die damit verbundenen Schwachstellen detailliert aufgeführt sind, ist der erste Schritt, um Sicherheitsschwachstellen in kommerziellen Softwareanwendungen sowohl vor als auch nach der Implementierung zu verstehen und zu entschärfen.“
Methodik
Im Rahmen der Analyse setzte GrammaTech seine Lösung CodeSentry ein, um das Vorhandensein von Open-Source-Komponenten in den Binärpaketen der am häufigsten verwendeten Softwareanwendungen zu ermitteln. Die Ausgabeberichte für jede Anwendung wurden Osterman Research im PDF-Format zur Verfügung gestellt.
Weitere Informationen
Der komplette Report kann über folgenden Link bei GrammaTech angefordert werden: https://codesentry.grammatech.com/wp-form-osterman-research
Fachartikel

Kubernetes und Container im Visier: Die aktuelle Bedrohungslage im Überblick

Forscher entdecken universellen Trick zur Umgehung von Sicherheitsvorgaben bei KI-Chatbots

Phishing-Angriffe über OAuth: Russische Hacker zielen auf Microsoft 365 ab

Ransomware-Banden setzen auf professionelle Geschäftsmodelle

Zehn Dinge, die Sie gestern hätten tun müssen, um die NIS2-Vorschriften einzuhalten
Studien

DefTech-Startups: Deutschland kann sich derzeit kaum verteidigen

Gartner-Umfrage: 85 % der CEOs geben an, dass Cybersicherheit für das Unternehmenswachstum entscheidend ist

Studie: Mehrheit der beliebten Chrome-Erweiterungen mit riskanten Berechtigungen

Kubernetes etabliert sich in der Wirtschaft – Neue Studie liefert überraschende Details

Studie zu Cyberangriffen auf Versorgungsunternehmen
Whitepaper

Internet unter Beschuss: Über 1.000 bösartige Domains pro Tag

Google warnt vor zunehmender Raffinesse bei Cyberangriffen: Angreifer nutzen verstärkt Zero-Day-Exploits zur Kompromittierung von Systemen

FBI: USA verlieren 2024 Rekordbetrag von 16,6 Milliarden US-Dollar durch Cyberkriminalität

EMEA-Region im Fokus: Systemangriffe laut Verizon-Report 2025 verdoppelt

IBM X-Force Threat Index 2025: Groß angelegter Diebstahl von Zugangsdaten eskaliert, Angreifer wenden sich heimtückischeren Taktiken zu
Hamsterrad-Rebell

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen

Anmeldeinformationen und credential-basierte Angriffe

Vermeiden Sie, dass unbekannte Apps unnötige Gefahren für Ihre Organisation verursachen

Data Security Posture Management – Warum ist DSPM wichtig?
