Выявлено 400 000 уязвимостей на 2 200 виртуальных устройствах

14 октября 2020 г. 10:43
 8633

Виртуальные устройства, даже если они продаются крупными поставщиками программного обеспечения или кибербезопасности, могут представлять серьезный риск для организаций.

«Виртуальные устройства, даже если они продаются крупными поставщиками программного обеспечения или кибербезопасности, могут представлять серьезный риск для организаций», -  говорится в отчете, опубликованном во вторник компанией Orca Security, специализирующейся на «облачной» безопасности.

Виртуальные устройства могут быть очень полезны организациям, так как они устраняют необходимость в выделенном оборудовании, часто недороги или бесплатны, просты в настройке и обслуживании, а также легко развертываются на «облачных» платформах. Многие виртуальные устройства можно сразу использовать в настройке по умолчанию.

Компания Orca Security использовала технологию SideScanning для проверки виртуальных устройств на наличие уязвимостей и устаревших операционных систем. В апреле и мае компания просканировала в общей сложности более 2200 виртуальных устройств от 540 поставщиков и выявила более 400 000 уязвимостей.

Виртуальные устройства были получены из магазинов, связанных с «облачными» платформами, такими как AWS, VMware, Google Cloud Platform и Microsoft Azure, однако исследователи Orca утверждают, что эти виртуальные устройства во многих случаях идентичны устройствам, предоставляемым непосредственно поставщиками.

Анализ, в ходе которого каждому устройству была выставлена оценка риска безопасности в диапазоне от 0 до 100, показал, что устройства от 8% производителей не имеют никаких проблем. К таким поставщикам, получившим оценку "A+", относятся Trend Micro, Pulse Secure, BeyondTrust и Versasec.

Почти четверть протестированных поставщиков получили оценку A и 12 % - B. Однако 15 % протестированных устройств получили оценку F, в том числе компании CA Technologies, Software AG, Intel, Zoho, Symantec, A10 Networks, Cloudflare и Micro Focus.

Однако компания Orca отметила, что некоторые устройства одного и того же производителя получили оценку «А» или «А+», а другие того же вендора – «F». К таким компаниям относятся Intel, Symantec, Soho, Cognosys и Tibco.

Прежде чем обнародовать свои выводы, исследователи связались с каждым из поставщиков. Компания утверждает, что поставщики устранили примерно 36 000 из 400 000 обнаруженных уязвимостей, разместив исправления, либо удалив виртуальное устройство в целом. В частности, 287 продуктов были обновлены и 53 были удалены.

В список компаний, принявших меры, входят Dell EMC, Cisco, IBM, Symantec, Splunk, Oracle, Kaspersky, Cloudflare, Zoho и Qualys.

С другой стороны, некоторые поставщики заявили, что заказчики должны были сами обеспечить исправление своих виртуальных устройств, в то время как другие отказались предпринимать какие-либо действия, аргументируя это тем, что обнаруженные уязвимости не могут быть использованы. Также некоторые поставщики угрожали возбудить против компании Orca судебное разбирательство.

Один из интересных выводов отчета заключается в том, что более дорогие продукты не получили более высокого балла по сравнению с менее дорогими и даже бесплатными продуктами.

«Один факт того, что поставщик получил наивысшую оценку, не означает, что все его виртуальные устройства гарантированно не подвержены риску. Представленные данные служат лишь обзором, дающим представление о том, как поставщики подходят к поддержке и обслуживанию своих виртуальных устройств. Некоторые из них получили хорошие оценки и заслуживают определенной степени доверия. Другие проявили себя не лучшим образом, и к их продуктам следует подходить с осторожностью», - говорится в отчете Orca.

Компания также поделилась некоторыми рекомендациями для организаций по снижению рисков, связанных с использованием виртуальных устройств. Сюда входит управление активами для отслеживания виртуальных устройств, инструменты управления уязвимостями, которые могут выявить слабые места, а также процесс управления уязвимостями с приоритезацией наиболее серьезных багов.

Отчет Orca «State of Virtual Appliance Security 2020» доступен на веб-сайте компании.

 

Перевод сделан со статьи https://www.securityweek.com