Novo estudo mostra que mesmo fabricantes de segurança podem usar virtual appliances obsoletas e vulneráveis. Dica de ouro: garanta que seu processo de gestão de vulnerabilidades cubra as virtual appliances.

Virtual appliances são formas comum de fabricantes de software distribuírem seus produtos para consumidores enterprise, ao passo em que elas contêm os software pré-configurados que a aplicação necessita para funcionar, e podem ser implementados em nuvens públicas ou data centers privados com facilidade. Infelizmente, as empresas estão em risco ao usar imagens que estão vulneráveis out-of-the-box, de acordo com um novo estudo. Esse estudo realizado pela Orca Security descobriu que muitos fabricantes, inclusive os bem consolidados no mercado, fazem um trabalho ruim de corrigir as falhas e fazer o update de seus componentes de software nas virtual appliances.

 

Poucas virtual appliances obtém boas notas de segurança

O estudo foi feito com base em mais de 2.200 imagens de virtual appliances, de 540 fabricantes diferentes distribuídas em plataformas de nuvem comuns como VMware, AWS, Azure e GCP. As appliances eram tanto comerciais quanto gratuitas para uso, continham tanto software proprietário quanto de código aberto, e eram fornecidas tanto por fabricantes de segurança quanto de outros tipos.

O estudo criou um score de 0 a 100 que levava em consideração a execução de sistemas operacionais ainda suportados ou legados, se continha uma ou mais de 17 vulnerabilidades de altíssimo risco como Heartbleed, EternalBlue e DirtyCOW, se continham uma ou mais vulnerabilidades classificadas acima de CVSS 9 (crítico), ou uma ou mais vulnerabilidades entre o CVSS 7 e 9.

Um sistema de classificação entre A+ (exemplar) e F (falhou) também foi usado. uma appliance virtual automaticamente falharia no teste se tivesse um sistema operacional legado, contivesse quatro ou mais vulnerabilidades críticas, 20 ou mais falhas com CVSS 9 e acima, ou 100 ou mais falhas com CVSS 7 a 9, ou mais de 400 vulnerabilidades únicas. 15% das appliances testadas receberam F, e o pior score recebido foi 6. Outros 16% receberam D (ruim), 25% C (medíocre) e 12% B (acima da média). Apenas 8% receberam A+ e 24% A.

No total, o estudo identificou 401.571 vulnerabilidades ao longo de 2.218 appliances. A notificação subsequente aos fabricantes resultou em 287 produtos sendo atualizados e 53 removidos de distribuição. Alguns fabricantes tiveram produtos nas duas pontas do espectro. Como de costume, alguns foram mais abertos ao feedback, enquanto outros jogaram a responsabilidade para o cliente final, eximindo-se de qualquer responsabilidade após a implementação.

 

Updates de appliances virtuais são pouco frequentes

Como esperado, o número de vulnerabilidades descoberta por appliance foi diretamente atrelado à frequência em que essa appliance era atualizada pelo fabricante. Quase metade não tinha recebido updates no último ano, apenas 14% tiveram updates feitos nos três meses anteriores ao estudo.

Virtual appliances de fabricantes tradicionais de segurança tiveram score acima da média (83, contra 79), mas houveram casos de gestão ruim também entre os fabricantes de segurança. Por exemplo, uma fabricante de segurança estava distribuindo uma appliance de 26 meses de idade que continha uma vulnerabilidade crítica que esse próprio fabricante havia descoberto e reportado em 2018.

 

Recomendações Real Protect para reduzir os riscos relacionados a virtual appliances

  • Gestão de ativos que forneça uma visão das virtual appliances implementadas em sua empresa. Isso deve incluir tanto plataformas internas quanto em nuvens públicas. Não deixe de ver implementações informais (Shadow IT), hoje é fácil para os usuários finais acessar e implementar suas próprias virtual appliances.
  • Ferramentas de gestão de vulnerabilidade que possam descobrir virtual appliances e escanear em busca de vulnerabilidades conhecidas e outros problemas de segurança. Garantir que o processo de gestão de vulnerabilidade em sua empresa escaneie todas as virtual appliances.
  • O processo de gestão de vulnerabilidades deve priorizar ações a serem tomadas com base na criticidade das vulnerabilidades. No curto prazo existem duas opções: corrigir imediatamente ou deixar de usar o produto.
  • No longo prazo para as appliances que continuarem rodando, aborde o fabricante, entenda o processo de suporte e como as vulnerabilidades estão sendo corrigidas. Busque uma alternativa caso identifique que o processo oferecido por esse fabricante não é satisfatório.