Een derde van de (online) applicaties bevat kritieke kwetsbaarheden. Dat zegt securityspecialist Computest Security. Ethische hackers van het bedrijf constateren dat er van alles mis is bij applicaties, zowel op het gebied van data en security als bij autorisatiemechanismen. De meest voorkomende oorzaken van de kwetsbaarheden zijn het gebruik van verouderde software die niet meer wordt ondersteund, het niet uitvoeren van updates en het ontbreken van multifactorauthenticatie.
Voor het onderzoek ‘De Staat van Applicatiebeveiliging’ zijn de resultaten van ruim 300 security-testen die gedurende een jaar zijn uitgevoerd op applicaties van verschillende organisaties geanalyseerd. Uit de geanonimiseerde analyse blijkt dat een applicatie gemiddeld twaalf kwetsbaarheden bevat. Hiervan is naar de maatstaven van de internationaal erkende CVSS-scoringsmethodiek bijna een derde een belangrijke of zelfs kritieke kwetsbaarheid.
“Het is belangrijk om bij de onderzoeksresultaten aan te merken dat de daadwerkelijke staat van applicatiebeveiliging in de praktijk mogelijk slechter zal zijn. De organisaties die zijn meegenomen in het geanonimiseerde onderzoek hebben ons proactief gevraagd om een security-test en hebben daarmee al aandacht voor het periodiek uitvoeren hiervan,” zegt Dennis de Hoog, CEO van Computest Security. “Daarom vormen de resultaten niet noodzakelijk een afspiegeling van het gemiddelde niveau van applicatieveiligheid en verwachten wij dat de situatie in de praktijk slechter is dan de cijfers in ons rapport laten zien.”
Opvallend was dat bij 32 procent van de testen één van de meest kritische kwetsbaarheden werd gevonden: cross-site scripting (XSS). Hierbij kan de aanvaller kwaadaardige code injecteren in de applicatie die vervolgens wordt uitgevoerd zodra iemand de applicatie gebruikt. Op deze manier kan gevoelige data worden gestolen of kunnen gebruikers ongemerkt worden doorgestuurd naar een malafide website. Voor deze kwetsbaarheid gold dat deze in bijna 60 procent van de gevallen zelfs misbruikt kon worden zonder een account voor de applicatie te hebben.
De ethische hackers vonden bij bijna 30 procent van de applicaties kwetsbaarheden in het autorisatiemechanisme. Dit betekent dat niet op de juiste wijze wordt gecontroleerd of de ingelogde medewerker het recht heeft de gevraagde functionaliteit te gebruiken. Bij één op de tien testen bleek het zelfs mogelijk om beheertaken uit te voeren vanuit een normale gebruiker. Hiermee zou de aanvaller in bepaalde gevallen de volledige applicatie kunnen overnemen. Verder liet bij 34 procent van de geteste applicaties de security van de authenticatie te wensen over. Bij 19 procent van de applicaties werd bovendien nog geen gebruikgemaakt van multifactorauthenticatie (MFA) of was dit niet juist geïmplementeerd.
De grootste oorzaken van kwetsbaarheden zijn het gebruik van verouderde software, het niet doorvoeren van de benodigde updates en het ontbreken van sterke authenticatie-oplossingen. Ook het gebruik van componenten van derde partijen vormt een groot risico. Zo vond Computest Security in bijna 70 procent van de testen kwetsbaarheden in dergelijke componenten. Daarbij werd bij 39 procent van de testen bovendien geconstateerd dat de betreffende software helemaal niet meer wordt ondersteund met security-updates.
“Hoewel we dagelijks in het nieuws geconfronteerd worden met de risico’s van cyberbedreigingen, zien we dat er nog te weinig actie wordt ondernomen,” aldus De Hoog. “De maatregelen die kunnen worden genomen zijn over het algemeen geen rocket science, maar staan niet hoog op de agenda. Bovendien krijgen applicaties vaak minder aandacht dan interne- of cloud-netwerken. Dit terwijl applicaties net zo goed onderdeel uitmaken van het aanvalsoppervlak.”
