• IL NOSTRO NETWORK:
  • Indigo Communication
  • Technopolis
  • ictBusiness.it
  • TAB Magazine
logo
logo
  • News
    • Hardware
    • Software
    • Servizi
    • Mercati
  • Focus
    • Applicazioni
    • Big Data
    • Business Intelligence
    • Cloud e Virtualizzazione
    • Data Center
    • Gestione Documentale
    • Mobility
    • Networking
    • Privacy
    • Resource Management
    • Sicurezza
    • Sistemi Operativi
    • Storage
  • Scenari
  • Storie di successo
  • Spunti di vista
  • Canale
  • Lavoro
    • Professioni
    • Carriere
    • Corsi
  • Eventi
  • Ti trovi in:
  • Home Page
  • News

Java fonte di guai, l'88% delle applicazioni è attaccabile

Una ricerca di Veracode (società di Ca Tecnologies) ha svelato che l’88% delle applicazioni Java usate in azienda contiene almeno un componente vulnerabile. Il ricorso all'open source non è da condannare, ma va associato a maggiori controlli.

Pubblicato il 20 dicembre 2017 da Redazione

Il pericolo si annida nelle applicazioni Java. Moltissime, quasi una su nove tra quelle utilizzate in azienda (l'88%), contengono almeno un componente vulnerabile, che le espone a potenziali attacchi informatici. È quanto emerso dai test di sicurezza condotti fra aprile 2016 e marzo 2017 da Veracode, società di cybersicurezza sussidiaria di Ca Technologies, su quasi 250 miliardi di righe di codice di applicazioni usate da 1.400 clienti I risultati dei test, confluiti nello studio “2017 State of Software Security Report”, hanno evidenziato una serie di rischi connessi all'uso di componenti open source (fino al 75% del codice di una tipica applicazione è costituto da componenti di questo tipo) e uno scarso livello di controllo e consapevolezza fra le aziende sui propri livelli di sicurezza. Solo il 28% dei clienti di Veracode, infatti, esegue regolarmente analisi al fine di comprendere quali siano i componenti presenti nelle proprie applicazioni.

I problemi riguardano innanzitutto il software non precedentemente testato: il 77% delle app presenta almeno una vulnerabilità in sede di prima scansione, e nel 12% si trattava di un difetto grave. Tra i settori, le organizzazioni governative non possono certo vantare livelli di sicurezza migliori della media, anzi: nell'ultimo scanning hanno ottenuto un tasso di superamento del test di appena il 24,7% e hanno registrato la più alta prevalenza di vulnerabilità altamente sfruttabili, quali cross-site scripting (49%) ed Sql injection (32%).

 

 

 

L’uso di componenti per lo sviluppo applicativo è un pratica diffusa, che consente agli sviluppatori di riutilizzare codice funzionale e, quindi, di accelerare il rilascio del software. Il rovescio della medaglia è che, in caso di vulnerabilità, i cybercriminali hanno davvero vita facile: “L’impiego universale di componenti per lo sviluppo applicativo”, ha commentato il chief technology officer di Ca Veracode, Chris Wysopal, “implica che, quando emerge una vulnerabilità a carico di un componente, essa possa potenzialmente interessare migliaia di applicazioni”. Può dunque bastare un unico exploit per colpire e violare molte applicazioni differenti.

Non mancano le dimostrazioni, purtroppo. Fra i casi eclatanti degli ultimi mesi, un esempio di vulnerabilità di vaste proporzioni a livello di componenti è stato Struts-Shock, scoperto nel marzo 2017. Stando all'analisi di Veracode, il 68% delle applicazioni Java basate sulla libreria Apache Struts 2 persisteva nell'utilizzare una versione vulnerabile del componente anche nelle settimane successive ai primi attacchi. Questa vulnerabilità critica presente nella libreria Apache Struts 2 riguardava decine di milioni di siti Web (35 milioni, secondo Veracode) e ha permesso ai criminali informatici di sferrare delle offensive di tipo Remote Code Execution basato su iniezione di comandi. Tra i bersagli colpiti spiccano i siti dell’Agenzia canadese delle Entrate e dell’Università del Delaware. 

I test di Veracode hanno anche evidenziato che oltre la metà (53,3%) delle applicazioni Java si fonda su una versione vulnerabile dei componenti Commons Collections. Versione risalente al 2016 e oggi notoriamente fallata, ma ancora impiegata in moltissime applicazioni vecchie e nuove.

 

I tempi di risoluzione delle vulnerabilità sono lunghi (infografica: Ca Veracode)

 

L'open source è quindi da condannare? No, ma bisogna elevare i livelli di controllo e anche la velocità di risposta alle vulnerabilità scoperte. Dalle analisi di Veracode è emerso che solo il 22% dei difetti gravi è stato risolto in meno di un mese, mentre agli aggressori bastano tempi molto più brevi, pochi giorni, per individuare e sfruttare una debolezza del software. “I team addetti allo sviluppo non smetteranno certo di utilizzare i componenti, ed è giusto che sia così”, ha commentato Wysopal. “Quando però compare un exploit, il fattore tempo è fondamentale. I componenti open source e di terze parti non sono necessariamente meno sicuri del codice sviluppato in casa, ma è essenziale mantenere un inventario aggiornato delle versioni utilizzate per ogni componente”.

 

 

Tag: sicurezza, java, software, applicazioni, open source, vulnerabilità, Ca Technologies, veracode

SICUREZZA

  • Se la vostra password è stata rubata, Edge vi mette in guardia
  • Proteggere i dati aziendali: qual è la strategia più efficace?
  • Anche gli hacker sbagliano: migliaia di password rubate visibili online
  • Password efficaci e sempre al sicuro con l’aggiornamento di Chrome
  • Gtt potenzia i servizi di sicurezza gestiti e va verso il futuro

NEWS

  • Windows e il cloud di Azure mandano in orbita Microsoft
  • Europa vs Silicon Valley: Von der Leyen severa con i social network
  • Da Trend Micro la protezione del file storage nata per il cloud
  • Numeri telefonici di 553 milioni di utenti Facebook venduti online
  • Fake news su Twitter, un approccio “comunitario” per sconfiggerle
Seguici:
IctBroadcast

Tweets by ictBusinessIT

Eventi
Scopri Technopolis
L’IT agile si mette al servizio del business
Nuove regole per governare la crisi nelle Pmi, il digitale aiuta
La trasformazione digitale riparte dall’Erp con Agevole di SB Italia
Top news
  • Più lette
  • Ultime pubblicate
Lavoro a distanza, wearable, realtà aumentata: i trend del 2021
Per avvicinare le generazioni nasce il Servizio civile digitale
Controllare gli ambienti IT complessi è un’impresa possibile
Robot, analytics, computer vision: le carte vincenti del 2021
Spunti e stimoli per i Cio dal magma in movimento di Aws
L’App Store ha fruttato 200 miliardi di dollari ai suoi sviluppatori
La futura Apple Car self-driving potrebbe essere una Hunday
Elon Musk è l’uomo più ricco al mondo, sorpassato Jeff Bezos
Microsoft Teams migliora le riunioni di lavoro con la “vista dinamica”
Fintech e banche, che cosa ci aspetta nell’anno nuovo?
Infinidat entra in una nuova fase con la nomina di Phil Bullinger
Leggero, trasformabile e potente: ecco Surface Pro 7+ for Business
Smartwatch “soccorritori” e app per "superuomini" fra le novità del Ces
Exynos, ecco il chip di Samsung per gli smartphone Galaxy S21
La Tv si trasforma con il cloud di Amagi e la rete di Gtt
Mazzette ai dipendenti di Leonardo, indagata anche Google
Gli hard disk saranno importanti nel 2021, ecco perché
F5 si rafforza nella gestione dell’edge con l’acquisto di Volterra
Whatsapp, Facebook e la privacy: quali sono davvero i rischi?
Cinquanta chip per 500 computer: le novità Intel del 2021
Windows e il cloud di Azure mandano in orbita Microsoft
Europa vs Silicon Valley: Von der Leyen severa con i social network
Da Trend Micro la protezione del file storage nata per il cloud
Numeri telefonici di 553 milioni di utenti Facebook venduti online
Fake news su Twitter, un approccio “comunitario” per sconfiggerle
Huawei zittisce i rumors: agli smartphone Mate ed S non rinuncia
Google, Microsoft, Amazon & Co., paladini della lotta al covid
Nuova strategia di canale per Fujitsu, si punta sulle alleanze
Pc, data center, servizi: il mercato risale, parola di Gartner
Successo per il Fondo per l'innovazione tecnologica e la digitalizzazione
Chi siamo
Contatti
Privacy
Informativa Cookie
News
Scenari
Spunti di vista
Focus
Lavoro
Eventi
Storie di Successo
Partners
Indigo Communication
Technopolis
TAB Magazine
ictbusiness logo
© 2021 Indigo Communication - P.iva 04275830968