Dutch IT Chanel Logo mobile
Search icon
Martijn Kregting - 09 augustus 2021

Meeste zakelijk gebruikte apps met open source-componenten bevatten kritiek lek

Cybersecurity Onderzoek Software
Meeste zakelijk gebruikte apps met open source-componenten bevatten kritiek lek image

Bijna alle zakelijk gebruikte standaard-apps met open source-onderdelen, bevatten kritieke lekken. Veel organisaties en hun security-teams weten echter niet dat de gebruikte software gebaseerd is op opensource-componenten. Zij zijn daarom niet alert op mogelijke lekken. Dat stelt Osterman Research in een recent rapport waarin het circa 40 standaard-apps tegen het licht houdt.

De bevindingen in het rapport duiden op een ernstige zwakte in de softwaretoeleveringsketen van veel veelgebruikte commerciële kant-en-klare softwaretoepassingen. Uit de resultaten bleek dat alle applicaties in vijf veelvoorkomende softwarecategorieën (webbrowsers, e-mail, het delen van bestanden, online vergaderingen en berichtenuitwisseling) kwetsbare open source-componenten bevatten die het risico op succesvolle cyberaanvallen vergroten.

85 procent minimaal één kritiek lek

Gemiddeld bevat 30 procent van alle onderzochte open source-componenten minsten één lek dat bekend is en een CVE-identificatie heeft. 85 procent bevat minimaal één kritiek lek, van het niveau CVSS 10.0. Zo werden twee versies van een open source-component van browser Firefox met kritieke lekken aangetroffen bij drie kwart van alle apps met kritieke lekken. De categorie e-mail en meeting clients bevat de meest kwetsbare apps met gemiddeld de meeste lekken van het hoogste niveau.

Osterman gebruikte voor het onderzoek software van GrammaTech, waarmee kan zoeken naar opensourcecomponenten in de binary packaging van veelgebruikte applicaties. Toegang tot de broncode is daarbij niet nodig. GrammaTech gebruikte zijn CodeSentry-beveiligingsplatform voor de toeleveringsketen van software om veelgebruikte softwaretoepassingen te analyseren op de aanwezigheid van open-sourcecomponenten en kwetsbaarheden.

Enkele van de belangrijkste conclusies op een rij:

  • Toepassingen in de categorieën vergader- en e-mailclients zijn het meest kwetsbaar.
  • 100 procent van alle geanalyseerde applicaties bevat kwetsbare open-sourcecomponenten.
  • Kritieke kwetsbaarheden (CVSS 10.0) worden gevonden in 85 procent van deze applicaties.
  • Deze veelgebruikte applicaties vormen een ernstig cyberbeveiligingsrisico voor organisaties.

Dutch IT events

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Over Martijn Kregting

Martijn Kregting

Martijn Kregting is freelance journalist en tekstschrijver.

Martijn is sinds 2006 actief in de IT- en telecomjournalistiek en schrijft voor een aantal publicaties en platforms op dit gebied, waaronder Dutch IT Media

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!