Web aplikacije suočavaju se sa širokim spektrom rizika, uključujući poznate ranjivosti koje se mogu iskoristiti, napade na lanac snabdijevanja i nesigurne konfiguracije identiteta u CI/CD procesima, prema izvještaju Datadog State of DevSecOps 2025.
14% Java servisa i dalje sadrži barem jednu ranjivost
Analizom skupa podataka aplikacija kako bi se idenfikovale poznate treće strane ranjivosti, utvrđeno je da je 15% servisa ranjivo na poznate ranjivosti koje se iskorištavaju, što pogađa 30% organizacija.
Ove ranjivosti su posebno prisutne među Java servisima, gdje 44% aplikacija sadrži poznatu ranjivost koja se aktivno iskorištava. Prosječan broj aplikacija sa poznatom ranjivošću među ostalim servisima u izvještaju (Go, Python, .NET, PHP, Ruby i JavaScript) iznosio je samo 2%.
Zapravo, 14% Java servisa i dalje sadrži barem jednu ranjivost, čak i kada se uzmu u obzir samo ozbiljne ranjivosti poput poznatih problema s udaljenim izvršavanjem koda (RCE) kao što su Log4Shell, Spring4Shell i drugi često korišteni vektori napada.
Pored toga što češće sadrže ozbiljne ranjivosti, Java aplikacije se i sporije ažuriraju u odnosu na aplikacije iz drugih programskih ekosistema. Aplikacijama iz Java-baziranog Apache Maven ekosistema u prosjeku je trebalo 62 dana da se izvrše popravke u bibliotekama, dok je aplikacijama iz .NET ekosistema trebalo 46 dana, a aplikacijama koje koriste npm pakete (JavaScript) samo 19 dana.
88% organizacija primilo je neželjene maliciozne HTTP zahtjeve, poput zahtjeva prema /backup.sql, koji skeniraju moguće izložene osjetljive datoteke ili API rute.
Kako bi bolje razumjeli ozbiljnost ranjivosti, Datadog je razvio algoritam za određivanje prioriteta koji je uključivao kontekst izvođenja u svoj osnovni CVSS (Common Vulnerability Scoring System) rezultat.
Dodavanje konteksta izvođenja omogućilo je uključivanje faktora kao što su: da li se ranjivost nalazi u produkcijskom okruženju ili da li je aplikacija izložena internetu – faktori koje CVSS sam po sebi ne uzima u obzir. Ovo je pomoglo u smanjenju “šuma” i identifikaciji najhitnijih problema. Nakon primjene konteksta izvođenja, otkriveno je da je samo 18% ranjivosti sa kritičnim CVSS ocjenama – manje od jedne od pet – i dalje smatrano zaista kritičnim.
Napadači nastavljaju ciljati lanac snabdijevanja softverom
Istraživači su idenfikovali hiljade malicioznih PyPI i npm biblioteka – neke od ovih biblioteka bile su maliciozne po svojoj prirodi i pokušavale su oponašati legitimne pakete (na primjer, passports-js koji oponaša legitimnu biblioteku passport), što je tehnika poznata kao “typosquatting”. Druge su bile rezultat preuzimanja popularnih, legitimnih zavisnosti (kao što su Ultralytics, Solana web3.js i lottie-player). Ove tehnike koriste i državno sponzorisani hakeri i cyber kriminalci.
Jedan od najčešćih uzroka curenja podataka su dugotrajne kredencijala. Prošle godine, 63% organizacija je barem jednom koristilo oblik dugotrajne kredencijala za autentifikaciju GitHub Actions procesa. Ove godine taj broj je pao na 58%, što je pozitivan znak da organizacije polako poboljšavaju procese upravljanja kredencijale.
U svim programskim jezicima, zavisnosti su u prosjeku mjesecima iza svojih posljednjih glavnih ažuriranja. Servisi koji se rjeđe objavljuju imaju veću vjerovatnoću da koriste zastarjele biblioteke – zavisnosti u servisima koji se objavljuju manje od jednom mjesečno su 47% zastarjelije od onih koji se objavljuju svakodnevno. Ovo predstavlja problem za programere, jer zastarjele biblioteke povećavaju vjerovatnoću da neka zavisnost sadrži neispravljene, iskoristive ranjivosti.
„Izvještaj je pokazao da inženjeri sigurnosti troše mnogo vremena na ranjivosti koje nisu nužno ozbiljne“, rekao je Andrew Krug, direktor za sigurnosnu promociju u Datadogu. „Ogromna količina ‘šuma’ s kojom se sigurnosni timovi moraju nositi predstavlja veliki problem, jer odvlači pažnju sa zaista kritičnih ranjivosti. Ako odbrambeni timovi budu mogli manje vremena trošiti na trijažu problema, brže će smanjiti površinu napada svojih organizacija. Fokusiranje na lako iskoristive ranjivosti koje su aktivne u produkcijskim okruženjima i izložene javnosti donijet će najveće stvarne pomake u sigurnosnom položaju.“
Izvor:Help Net Security