image

Recordaantal kwetsbaarheden aan CVE-database toegevoegd

dinsdag 5 januari 2021, 11:25 door Redactie, 8 reacties
Laatst bijgewerkt: 05-01-2021, 11:50

Vorig jaar is een recordaantal kwetsbaarheden aan de CVE-database toegevoegd, zo blijkt uit cijfers die Security.NL analyseerde. Aan meer dan 18.300 kwetsbaarheden werd een CVE-nummer toegekend. Duizend meer dan in 2019 en voor het eerst werd de grens van de 18.000 lekken gepasseerd.

In 1999 lanceerde de MITRE Corporation de Common Vulnerabilities and Exposures (CVE)-lijst. CVE voorziet elke kwetsbaarheid van een uniek nummer. Dit maakt het eenvoudiger om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Het CVE-nummer begint met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers. Onderzoekers, ontwikkelaars of bedrijven die een kwetsbaarheid vinden kunnen hiervoor een CVE-nummer aanvragen.

Van 2010 tot en met 2016 bleef het aantal kwetsbaarheden met een CVE-nummer jaarlijks onder de 8000, zo blijkt uit cijfers van de National Vulnerability Database die de CVE-nummers bijhoudt. Vanaf 2017 is er een sterke stijging zichtbaar en worden er in één jaar 14.600 beveiligingslekken aan de CVE-database toegevoegd. Deze lijn zet zich de jaren erna door, met in 2018, 2019 en 2020 respectievelijk 16.500, 17.300 en 18.300 nieuwe kwetsbaarheden.

Een groot aantal van de kwetsbaarheden betreft buffer overflows, SQL-injection, use-after-free, cross-site scripting en command injection, maar ook zaken als hardcoded wachtwoorden en het plaintext opslaan en versturen van inloggegevens en andere data komt nog geregeld voor. De CVE-database is niet allesomvattend, aangezien niet voor alle kwetsbaarheden een CVE-nummer wordt aangevraagd of uitgegeven. Daarnaast is er ook kritiek op het CVE-systeem. Zo werden onlangs nog voor één probleem meerdere CVE-nummers uitgegeven.

Image

Reacties (8)
05-01-2021, 12:33 door Anoniem
Hoe zou dit komen? Stort de markt zich zoveel op programmeerjobs zonder dat de vereiste securitykennis aanwezig is bij de sollicitanten? Worden basale aspecten van secure SDLC niet meer onderwezen aan nieuwkomers?

Het zal stellig komen door de websites die ik bezoek en de Youtube filmpjes die ik bekijk, maar iedere dag krijg ik wel een reclame of 3 à 4 te zien over mensen die een carrière-switch hebben gemaakt en nu programmeur zijn. Dan denk ik bij mezelf: leuk dat je nu programmeur bent, maar de basale kennis over sessiemanagement, cryptografie, secure API design, authenticatieprotocollen en de meest voorkomende webaanvallen (XSS, CSRF, noem alle zaken maar op die je op https://cwe.mitre.org/ en https://capec.mitre.org/) etc. heb je niet. Jammer, want software maakt een steeds groter onderdeel van onze samenleving uit, ook al is dat niet voor iedereen even zichtbaar.
05-01-2021, 12:54 door walmare
Mager artikel want aantal zegt niet zo veel.
Je kan je namelijk afvragen of er meer computers zijn bijgekomen of dat er meer wordt ontwikkeld etc
Veel interessante is de CVSS Severity. Waar zit de toename?
Hoe zit het met de kritieke gevallen en is bepaalde software veiliger of juist onveiliger geworden en zien we dat dan ook terug in de ransomware incidenten.
05-01-2021, 13:09 door MathFox
Ik denk dat een deel van de toename te danken is aan de bug-bounty programma's van de softwaremakers waardoor white hat hackers hun brood kunnen verdienen aan het opsporen en melden van bugs. Voor bepaalde sollicitaties staat een lijstje CVE nummers leuk op je CV.
05-01-2021, 15:52 door Briolet
De CVE-database is niet allesomvattend, aangezien niet voor alle kwetsbaarheden een CVE-nummer wordt aangevraagd of uitgegeven.

Dan blijft de vraag of er meer kwetsbaarheden gevonden worden of dat men ze sinds 2017 vaker via een CVE registreert.
05-01-2021, 21:11 door Anoniem
Door Anoniem: Hoe zou dit komen? Stort de markt zich zoveel op programmeerjobs zonder dat de vereiste securitykennis aanwezig is bij de sollicitanten? Worden basale aspecten van secure SDLC niet meer onderwezen aan nieuwkomers?

Mogelijk zit een gedeelte van de getallen in 1) betere administratie (meer bedrijvenn die het aanvragen) en 2) omdat onderzoekers steeds vaker echt om een CVE vragen.

Het is best lastig er eentje te krijgen is mijn ervaring, zelfs als je echt een leuke kwetsbaarheid hebt ontdekt in een product.
05-01-2021, 22:01 door Anoniem
Door Anoniem: Hoe zou dit komen? Stort de markt zich zoveel op programmeerjobs zonder dat de vereiste securitykennis aanwezig is bij de sollicitanten? Worden basale aspecten van secure SDLC niet meer onderwezen aan nieuwkomers?

Het zal stellig komen door de websites die ik bezoek en de Youtube filmpjes die ik bekijk, maar iedere dag krijg ik wel een reclame of 3 à 4 te zien over mensen die een carrière-switch hebben gemaakt en nu programmeur zijn.

Ooit was er een collega, die was psychiatrisch verpleger, omgeschoold naar sw engineer bij een sw huis (dat is dus 2x fout). Maar goed het ging 10 jaar goed. Toen was hij het nerdy gedrag van echte programmeurs beu. "Wil je koffie of thee ?". "Ja".
05-01-2021, 23:03 door Anoniem
Door MathFox: Ik denk dat een deel van de toename te danken is aan de bug-bounty programma's van de softwaremakers waardoor white hat hackers hun brood kunnen verdienen aan het opsporen en melden van bugs. Voor bepaalde sollicitaties staat een lijstje CVE nummers leuk op je CV.

Ook zonder bug-bounty , ik denk inderdaad dat je bij heel veel security bedrijven je carrière/CV punten scoort met CVE's.

Je ziet m.i. steeds vaker gehypte vulnerabilities die vaak alleen onder heel specifieke omstandigheden exploitable zijn, en het één of andere persbericht of conferentie presentatie dat 'medisch' of 'nucleair' er met de haren bij sleept om maar het idee te geven dat er weer een Groot Risico gevonden is door ONS BEDRIJF .
06-01-2021, 16:36 door Anoniem
Eén CVE kan wel kwetsbaarheden van honderden producten opsommen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.