Nejděravější firmy a operační systémy roku 2022. Stáhli jsme obrovský soubor a všechny ty chyby spočítali

Začátek ledna už tradičně patří našemu žebříčku nejděravějších operačních systémů a jejich výrobců za předchozí rok. Letošní leden nebude výjimkou, a tak jsme z webu NIST NVD stáhli obrovský textový soubor nvdcve-1.1-2022.json.

NVD je zkratka pro National Vulnerability Database a NIST pak pro americký National Institute of Standards and Technology, který ji spravuje.

Pro nás je ovšem podstatné hlavně to, že obsahem souboru je podrobný seznam všech nově zveřejněných počítačových zranitelností, kterým byl přidělený mezinárodní identifikátor CVE, tedy Common Vulnerabilities and Exposures.

Dvacet tisíc zranitelností

Jsou to přesně ty chyby, o kterých pak technická média referují po celý rok, koncoví uživatelé stále dokola instalují záplaty, no a nejeden správce počítačové sítě začne ve velkém hltat antidepresiva.

Na webu NIST NVD dohledáte jakoukoliv oficiálně evidovanou softwarovou zranitelnost

Zatímco za rok 2021 jsme spočítali necelých 17 tisíc zranitelností, za ten loňský to už dělalo více než 20 tisíc chyb! Dobrou polovinu z těchto nešvarů pak experti na počítačovou bezpečnost označili za závažné, velmi závažné a kritické (skóre vyšší než 7 podle škál CVSS 2.0 a CVSS 3.0).

Nejděravější firmy roku 2022

Pojďme se tedy podívat na letošní vítěze a níže v článku si pak vysvětlíme, že účast v TOP10 vlastně nemusí být vůbec ostuda a jmenované produkty a značky si automaticky nezaslouží posměch a pohrdání. Může to být přesně naopak!

Číselné hodnoty u každého jména v následujících žebříčcích představují součet, kolikrát se daný hráč objevil v databázi. Jedna zranitelnost se totiž může dotýkat třeba celé řady verzí Windows 10 a dalších produktů, a proto jsou součty poměrně vysoké.

TOP10 nejděravějších firem v roce 2022

1. Microsoft: 12 912
2. Qualcomm: 10 690
3. Juniper: 9 530
4. F5: 8 043
5. Cisco: 7 321
6. Intel: 5 381
7. Dell: 5 254
8. Google: 3 474
9. Oracle: 3 439
10. Siemens: 2 693

Žebříčku kralují značky, které velmi dobře zná každý čtenář Živě.cz. Leda snad s výjimkou společností Juniper a F5, které se věnují síťovým B2B technologiím a v TOP10 byly i loni. Z desítky naopak kupodivu vypadl Apple, který byl o rok dříve na 5. příčce.

Apple se nám nicméně do žebříčku opět vrátí, pokud tentokrát spočítáme firmy jen u těch produktů, u kterých bezpečnostní experti nahlásili nejzávažnější zranitelnosti (viz výše).  

TOP10 nejděravějších firem z pohledu nejzávažnějších chyb v roce 2022

1. Qualcomm: 9 983
2. Microsoft: 9 948
3. Dell: 4 038
4. F5: 3 764
5. Cisco: 3 343
6. Juniper: 3 249
7. Zoho: 1 882
8. Google: 1 728
9. Apple: 1 725
10. Siemens: 1 679

Čím výše v žebříčku, tím (možná) lépe

Na první pohled by se mohlo zdát, že jsme si právě ukázali nástěnku ostudy a produktům těchto výrobců bychom se měli vyhýbat širokým obloukem. Jenže takto rychlý soud by byl přinejmenším nechytrý.

Je třeba si totiž uvědomit několik klíčových zákonitostí podobných statistik:

1. Úsilí hodných hackerů (ti zlí nově objevené chyby pochopitelně nezveřejní, ale rovnou zneužijí) není rovnoměrně rozprostřené napříč produkty, takže je zcela logické, že více chyb objevíme ve Windows s miliardovou základnou uživatelů než v nějakém exotickém operačním systému
    
2. Každá nově objevená a zveřejněná zranitelnost je svým způsobem úspěch, protože ji můžeme opravit a už ji nebude moci nikdo nikdy zneužít
    
3. Produkt, který nemá v databází NVD jediný zásek, sice může být opravdu naprosto bezchybný, mnohem pravděpodobnějším vysvětlením ale bude spíše to, že doposud nebyl natolik důležitý, aby nad ním bezpečnostní inženýři ztráceli čas

Suma sumárum, až jednou nějaká analytická a opravdu schopná bezpečnostní AI projde bit po bitu každého programu a k tomu ještě celý GitHub a další skladiště open-source kódu, který hojně používají naprosto všichni včetně těch největších a proprietárních komerčních hráčů, asi to bude docela překvapení.

Nejděravější operační systémy roku 2022

S tímto vědomím se pojďme podívat na další žebříček, který tentokrát hodnotí nově objevené chyby v minulém roce podle toho, jakého operačního systému se týkaly.

TOP10 nejděravějších operačních systémů v roce 2022

1. Juniper Junos: 8 931
2. Microsoft Windows 10: 5 562
3. Google Android: 2 209
4. Cisco IOS XE: 2 159
5. Fedora: 1 483
6. Microsoft Windows 11: 1 127
7. Apple Mac OS X: 1 124
8. Debian: 854
9. Microsoft Windows Server 2012: 809
10. Microsoft Windows Server 2008: 766

Nejčastěji se v databázi vyskytoval specializovaný operační systém Junos pro síťové prvky od Juniperu. Vychází z architektury FreeBSD/Linux a linuxové systémy okupují i další příčky – včetně mobilního Androidu. Desítce ale i tak s přehledem vládnou různé generace Windows.

Junos pohání B2B síťové prvky

Oproti minulému vydání se nám do žebříčku konečně propsaly i stále relativně nové Windows 11, které co nevidět nahradí stárnoucí Desítky.

Opět ale připomeneme, že každá objevená zranitelnost je příslibem, že ji autor dříve či později opraví. Microsoft si sice dává občas na čas, ale je na něj také mnohem více vidět. Ostatně, mnohé velké zranitelnosti i u dalších tvůrců občas přetrvávají celé roky a ještě viditelnější je to u některých komunitních projektů, které kdysi nadšená parta jednoduše přestala dále vyvíjet a chyby v nich pak straší už navěky.

Do TOP10 se nám konečně dostaly i Windows 11

Pojďme si k operačním systémům doplnit ještě žebříček podle jednotlivých verzí namísto generací. Tentokrát nám sice na vrchol dostal Apple macOS 10.15.7, jinak ale celá polovina náleží Windows 10 a Windows 11.

TOP10 operační systémy podle jejich dílčích verzí

1. Apple Mac OS X 10.15.7: 1 066
2. Microsoft Windows 10 20H2: 970
3. Microsoft Windows 10 21H1: 962
4. Microsoft Windows 10 21H2: 954
5. Juniper Junos 19.4: 940
6. Microsoft Windows 10 1809: 936
7. Microsoft Windows 11: 935
8. Juniper Junos 18.4: 831
9. Juniper Junos 19.1: 807
10. Juniper Junos 19.2: 707

Jak jsme to vlastně počítali?

Na závěr si konečně ukážeme, jak jsme se k těmto žebříčkům vlastně dopočítali. Jak už jsme si řekli v úvodu, zdrojem nám byl obrovský textový soubor nvdcve-1.1-2022.json, který v dokumentovaném formátu eviduje jednotlivé zranitelnosti.

Obrovský textový soubor ve formátu JSON se roztáhl na několik milionů řádků

Soubor má úctyhodných 2 614 800 řádků a skoro 90 MB, autor článku jej tedy během svátků neprocházel ručně a s kalkulačkou v ruce, ale už loni jsme si pro strojový výpočet napsali poměrně naivní skript v Pythonu vycmuchejto.py. Najdete jej na GitHubu našeho seriálu o programování elektroniky, kam jsme nahráli i čerstvý balíček ZIP se zdrojovou databází pro rok 2022.

Záznam CPE

Databáze nabízí ke každé zranitelnosti výčet produktů, kterých se týká, ve strojovém formátu CPE 2.3 URI (Common Platform Enumeration).

Může mít třeba takovouto podobu:

cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*

V tomto případě se jedná o produkt se střední až závažnou zranitelnost CVE-2022-0114 z února loňského roku. Chybu tehdy nahlásil Google, který na ni narazil v Chromu spuštěném v linuxové distribuci Fedora. Útočník mohl kvůli zranitelnosti získat skrze prohlížeč přístup k paměti cizího procesu.

Takto vypadá záznam o zranitelnosti na webu NVD s výčtem softwarových konfigurací, kterých se týká, ve formátu CPE

Ale zpět k samotnému řádku. Všimněte si, že jednotlivé informace odděluje dvojtečka. Nejprve se tedy dozvíme, že se jedná o záznam ve formátu CPE a jeho verzi 2.3. Následující informace pak popisují samotný produkt:

• o: Operační systém
• fedoraproject: Výrobce
• fedora: Produkt
• 34: Verze

Tímto způsobem jsme prošli záznam po záznamu a mohli roztřídit jednotlivé produkty, kterých se zranitelnosti týkají, podle typu, výrobce, názvu a verze. Obrovská databáze obsahuje vedle zasažených operačních systémů ještě aplikace (a) a hardware/firmware (h).

Počítací skript prošel databázi a zpracoval hrubou statistiku TOP10 pro několik kategorií

Poměrně složitě strukturovaný JSON může obsahovat i nejrůznější podmínky a filtry, které je třeba při počítání brát na zřetel, pro hrubý součet ale stačí i podobné naivní sčítání s tím, že případné chyby se neprojeví tak masivně, aby ovlivnily samotné pořadí jednotlivých žebříčků TOP10.

Ostatně, můžete si to vyzkoušet sami. Stačí stáhnout skript z našeho GitHubu a případně si jej ohnout a vylepšit podle svého gusta.

Surový výstup počítadla pro rok 2022:

PS C:\Users\cizek> python .\vycmuchejto.py .\nvdcve-1.1-2022.json

**************** STATISTIKA NEJDERAVEJSICH PRODUKTU ****************
* Lze pouzit s JSON soubory z https://nvd.nist.gov/vuln/data-feeds *
********************************************************************

Nacitam soubor .\nvdcve-1.1-2022.json... OK
Celkem zranitelnosti: 20220

20220/20220 CVE-2022-4868 : Produktu: 0    (Celkem: 119052)


Kritickych chyb se skorem 7,0+: 11167
Produktu (aplikace, OS, hardware): 119052

TOP10 Aplikace podle zranitelnosti:
===================================================
 1) oracle openjdk 8: 1014
 2) oracle openjdk 7: 864
 3) gitlab gitlab: 642
 4) zohocorp manageengine_opmanager 12.5: 516
 5) rangerstudio directus 9.0.0: 417
 6) google tensorflow: 387
 7) google chrome: 351
 8) adobe acrobat: 299
 9) adobe acrobat_reader: 299
10) mariadb mariadb: 255

TOP10 OS podle zranitelnosti:
===================================================
 1) apple mac_os_x 10.15.7: 1066
 2) microsoft windows_10 20h2: 970
 3) microsoft windows_10 21h1: 962
 4) microsoft windows_10 21h2: 954
 5) juniper junos 19.4: 940
 6) microsoft windows_10 1809: 936
 7) microsoft windows_11: 935
 8) juniper junos 18.4: 831
 9) juniper junos 19.1: 807
10) juniper junos 19.2: 707

TOP10 Hardware podle zranitelnosti:
===================================================
 1) veritas netbackup_appliance 4.0.0.1: 54
 2) veritas netbackup_appliance 3.2: 51
 3) veritas netbackup_appliance 4.1.0.1: 36
 4) veritas netbackup_appliance 3.3.0.1: 34
 5) veritas netbackup_appliance 3.3.0.2: 34
 6) netapp hci_compute_node: 12
 7) veritas netbackup_virtual_appliance 4.0.0.1: 3
 8) siemens scalance_xr526-8c_l3_firmware: 3
 9) intel celeron_j4005: 2
10) intel celeron_n4100: 2

TOP10 Aplikace (rodina) podle zranitelnosti:
===================================================
 1) oracle openjdk: 1968
 2) cisco firepower_management_center: 1634
 3) wire wire-webapp: 1077
 4) f5 big-ip_access_policy_manager: 894
 5) google tensorflow: 852
 6) f5 big-ip_application_security_manager: 759
 7) gitlab gitlab: 747
 8) f5 big-ip_advanced_firewall_manager: 700
 9) f5 big-ip_local_traffic_manager: 699
10) f5 big-ip_domain_name_system: 679

TOP10 OS (rodina) podle zranitelnosti:
===================================================
 1) juniper junos: 8931
 2) microsoft windows_10: 5562
 3) google android: 2209
 4) cisco ios_xe: 2159
 5) fedoraproject fedora: 1483
 6) microsoft windows_11: 1127
 7) apple mac_os_x: 1124
 8) debian debian_linux: 854
 9) microsoft windows_server_2012: 809
10) microsoft windows_server_2008: 766

TOP10 Hardware (rodina) podle zranitelnosti:
===================================================
 1) veritas netbackup_appliance: 211
 2) netapp hci_compute_node: 12
 3) veritas netbackup_virtual_appliance: 7
 4) siemens scalance_xr526-8c_l3_firmware: 3
 5) intel celeron_j4005: 2
 6) intel celeron_n4100: 2
 7) intel celeron_n4000: 2
 8) intel celeron_j4105: 2
 9) intel pentium_silver_j5005: 2
10) intel pentium_silver_n5000: 2

TOP10 Aplikace (rodina, high) podle zranitelnosti:
===================================================
 1) google tensorflow: 559
 2) zohocorp manageengine_opmanager: 556
 3) f5 big-ip_access_policy_manager: 439
 4) f5 big-ip_application_security_manager: 375
 5) f5 big-ip_local_traffic_manager: 336
 6) f5 big-ip_advanced_firewall_manager: 330
 7) f5 big-ip_domain_name_system: 312
 8) zohocorp manageengine_password_manager_pro: 308
 9) f5 big-ip_global_traffic_manager: 306
10) f5 big-ip_policy_enforcement_manager: 306

TOP10 OS (rodina, high) podle zranitelnosti:
===================================================
 1) microsoft windows_10: 4323
 2) juniper junos: 3035
 3) cisco ios_xe: 1133
 4) fedoraproject fedora: 911
 5) microsoft windows_11: 884
 6) google android: 863
 7) apple mac_os_x: 748
 8) microsoft windows_server_2008: 622
 9) microsoft windows_server_2012: 617
10) debian debian_linux: 534

TOP10 Hardware (rodina, high) podle zranitelnosti:
===================================================
 1) veritas netbackup_appliance: 91
 2) netapp hci_compute_node: 8
 3) veritas netbackup_virtual_appliance: 7
 4) netapp baseboard_management_controller_h410c: 2
 5) netapp baseboard_management_controller_h300s: 2
 6) netapp baseboard_management_controller_h500s: 2
 7) netapp baseboard_management_controller_h700s: 2
 8) netapp baseboard_management_controller_h300e: 2
 9) netapp baseboard_management_controller_h500e: 2
10) netapp baseboard_management_controller_h700e: 2

TOP10 Firmy podle zranitelnosti:
===================================================
 1) microsoft: 12912
 2) qualcomm: 10690
 3) juniper: 9530
 4) f5: 8043
 5) cisco: 7321
 6) intel: 5381
 7) dell: 5254
 8) google: 3474
 9) oracle: 3439
10) siemens: 2693

TOP10 Firmy podle nejzavaznejsich zranitelnosti high:
===================================================
 1) qualcomm: 9983
 2) microsoft: 9948
 3) dell: 4038
 4) f5: 3764
 5) cisco: 3343
 6) juniper: 3249
 7) zohocorp: 1882
 8) google: 1728
 9) apple: 1725
10) siemens: 1679

Analyza trvala 2.5273525998927653 sekund