Na konci prosince jsme zrekapitulovali největší události roku, ale definitivně jej uzavřeme až dnes, podíváme se totiž na už tradiční soupis těch nejděravějších operačních systémů a firem/výrobců roku 2021.
Zdrojem dat nám bude obří textový soubor nvdcve-1.1-2021.json, jehož zabalenou verzi v ZIP stáhnete z webu NIST NVD Data Feeds. NVD je zkratka pro National Vulnerability Database a NIST pak zkratka pro americký National Institute od Standards and Technology, který ji spravuje.
Karta jedné z mnoha tisíc zranitelností na webu NIST NVD a sekce zasažených produktů, které jsme počítali. Jak? To se dozvíte v závěru článku
Textová databáze obsahuje podrobný seznam všech evidovaných zranitelností, které mají přidělený mezinárodní identifikátor CVE, tedy Common Vulnerabilities and Exposures, a o kterých v mnoha případech píšeme i na Živě.cz. Zvláště pak o těch nejzávažnějších.
16 803 zranitelností
Od ledna do prosince 2021 bezpečnostní inženýři takových chyb v programech, operačních systémech a firmwarech nejrůznějších čipů nasbírali rovných 16 803 a 9 039 z nich mělo vysokou závažnost HIGH nebo CRITICAL (skóre vyšší než 7,0 podle škál CVSS 2.0 a CVSS 3.0).
Dohromady se týkaly neuvěřitelných 120 491 produktů – respektive různých kombinací zasažených verzí!
Pro naše účely jsme si napsali program, který projde celou databázi zranitelností za rok 2021
Pojďme se podívat na několik tematických žebříčků, které jsme z celoročního logu vygenerovali v Pythonu. Kompletní data včetně samotného generátoru v Pythonu najdete na našem GitHubu.
Čím více známých chyb, tím paradoxně lépe
Ale pozor, ještě než začneme, je třeba zdůraznit základní pravidlo. Slovíčko „nejděravější“ rozhodně nemusí automaticky znamenat, že je takový produkt nebo firma i fakticky nejnebezpečnější k používání.
Velmi často platí pravý opak. Znamená to totiž, že bezpečnostní experti v produktu X objevili chybu, svět o ní už ví, autor ji může opravit a záškodník ji už nezneužije.
Skutečně nebezpečný software a firmware je ten, ve kterém chyby vůbec nehledáme, protože to třeba zatím nikomu nestálo za to. Přitom právě ten pak může sloužit jako zadní vrátka pro záškodníky všeho druhu.
Nejděravější firmy roku 2021
Takže jdeme na to. Nejprve se podíváme na nejděravější firmy. Tedy na firmy, které se ve výčtu zasažených produktů vyskytovali nejčastěji.
Horním příčkám kraluje výrobce podnikových síťových prvků Juniper, následuje armový Qualcomm a další síťový hegemon Cisco. Tyto firmy okupují čelní příčky už pravidelně a není se čemu divit, síťový software a firmware totiž zpravidla podléhá těm nejnáročnějším kontrolám.
- Juniper: 17 285
- Qualcomm: 16 503
- Cisco: 10 883
- Microsoft: 9 243
- Apple: 5 998
- Netgear: 3 140
- Zoho: 2 827
- F5: 2 728
- Google: 2 647
- Intel: 2 605
Nejděravější operační systémy roku 2021
A toto je už výčet nejděravějších operačních systémů. Tedy opět součet, kolikrát se v různých verzích objevily napříč celou databází zranitelností za rok 2021.
Na prvním místě figuruje Junos na bázi FreeBSD/Linux od Juniperu, který zvítězil i v předchozím žebříčku. Junos OS pohání jeho síťové routery a switche. Druhé místo konečně patří mnohem známějšímu produktu – desktopovému operačnímu systému od Applu macOS – a první trojku uzavírá Windows 10. Do první desítky se dostala také linuxová Fedora, Debian a samozřejmě i Android.
- Juniper Junos: 16 888
- Apple macOS: 4 509
- Microsoft Windows 10: 3 503
- Cisco IOS XE: 3 437
- Cisco IOS: 2 747
- Fedora: 1 916
- Microsoft Windows Server 2016: 1 458
- Google Android: 1 419
- Debian Linux: 842
- Microsoft Windows Server 2012: 641
Firmy podle nejzávažnějších chyb roku 2021
Jak už jsme si řekli výše, z celkových 16 803 zranitelností objevených v roce 2021 jich má 9 039 a podle škál CVSS 2.0 a CVSS 3.0 skóre vyšší nebo rovno 7,0 a spadají do kategorie HIGH a CRITICAL. Pojďme si tedy vypsat desítku nejděravějších firem podle toho, kolik jejich produktů bylo zasaženo těmi nejhoršími zranitelnostmi roku.
Škály závažnosti CVSS. V tomto žebříčku jsme počítali jen zranitelnosti se skóre alespoň 7,0
Tentokrát se nám pořadí trošku přeskládalo a první trojka patří společnostem Qualcomm, Juniper a Microsoftu, který předběhl Cisco. Do desítky se dostal také Siemens a naopak vypadl Intel.
- Qualcomm: 13 201
- Juniper: 8 586
- Microsoft: 7 078
- Cisco: 5 895
- Apple: 3 986
- Zoho: 2321
- Netgear: 2 187
- F5: 2 125
- Siemens: 1 904
- Google: 1 354
Nejděravější software roku 2021
Na závěr se ještě podívejme na desítku nejcitovanějšího softwaru v databázi zranitelností CVE. Běžný smrtelník asi bude zklamaný, figurují zde totiž převážně relativně neznámé specializované a podnikové aplikace a nikoliv to, co má každý z vás na počítači.
Jedinou výjimkou je snad Chrome, který desítku uzavírá, a zároveň jeho balík knihoven pro strojové učení a neuronové sítě TensorFlow.
- Liferay DXP: 1 378
- Google TensorFlow: 893
- GitLab: 798
- Zoho ManageEngine ServiceDesk Plus: 739
- Zoho ManageEngine OpManager: 616
- Zoho ManageEngine AdSelfService Plus: 411
- VMware vCenter Server: 378
- Canonical Apport: 364
- Cisco Identity Services Engine: 348
- Google Chrome: 314
Jak jsme to spočítali?
V souboru nvdcve-1.1-2021.json najdete základní popis a identifikační údaje pro každou zranitelnost CVE. Co je však nejdůležitější, nechybí ani výčet produktů, kterých se každá zranitelnost týká. Autoři pro to používají standardní strojový formát CPE 2.3 URI (Common Platform Enumeration).
Může mít třeba takovouto podobu:
cpe:2.3:o:apple:mac_os_x:10.14.6:-:*:*:*:*:*:*
V tomto případě se jedná o produkt, kterého se týkala velmi závažná zranitelnost CVE-2021-1736 poprvé publikovaná zkraje dubna. Každý čtenář už jistě od oka rozpoznal, že se jedná o operační systém (o), jeho autorem je firma Apple (apple), název produktu je macOS X (mac_os_x) a zranitelnost se dotýká konkrétně jeho verze 14.6.
Výřez z obrovského souboru s výčtem zasažených produktů pomocí identifikátorů CPE 2.3
Každá podobná chyba se může týkat až mnoha desítek produktů a v našem obřím textovém souboru jsou zakódované právě pomocí podobných identifikátoru CPE.
My jsme tedy s pomocí Pythonu prošli zranitelnost po zranitelnosti a v každé z nich vyhledali všechny validní CPE URI, kterých bylo dohromady oněch 120 491 kousků. Z nich už lze vyčíst, jaké firmě daný produkt patří (žebříček firem) a podle typu produktu (a, o, h) jsme zároveň zjistili, jestli to je aplikační software, OS/firmware nebo chyba v hardwaru.
Vše jsme nakonec vystavili na GitHubu, kde najdete i samotný a opravdu narychlo zbastlený skript v Pythonu, který může přelouskat i další soubory ve formátu JSON z archivu NIST NVD.
Snad najdou inženýři tisíce chyb i letos
Na závěr musíme popřát bezpečnostním inženýrům to, aby i letos objevili tisíce a tisíce nových zranitelností. Pokud se jim to totiž podaří, dají vědět výrobci a poté ji zveřejní pod identifikátorem CVE, znamená to, že se s největší pravděpodobností dočkáme záplaty a takový program, operační systém nebo čip nebude moci zneužít zlý útočník z Ruska, Číny nebo třeba Pardubic.
Produkty, které netrpí na žádné známé zranitelnosti, totiž vůbec nemusejí být bezchybné. Pravděpodobně je v nich pouze zatím nikdo nenašel. Dost možná proto, že to nikomu nestálo za to. A to je chyba.
