В 2,2 тыс. виртуальных установок обнаружены 400 тыс. уязвимостей

[Artifact]

Исследователи изучили продукты от 540 вендоров и присвоили им рейтинг безопасности.

Виртуальные установки даже от авторитетных поставщиков ПО или решений безопасности могут представлять угрозу безопасности предприятий. Об этом сообщается в https://orca.security/wp-content/upl...e-Security.pdfИБ-компании Orca Security, опубликованном во вторник, 13 октября.
В апреле-мае нынешнего года с помощью своей технологии SideScanning для проверки виртуальных установок на наличие уязвимостей и устаревших ОС исследователи просканировали более 2,2 тыс. продуктов от 540 вендоров и обнаружили более 400 тыс. уязвимостей.
Виртуальные установки были получены из торговых площадок, связанных с такими облачными платформами, как AWS, VMware, Google Cloud Platform и Microsoft Azure, но, по словам исследователей, во многих случаях это те же виртуальные установки, что предоставляются непосредственно вендорами.
В ходе исследования специалисты присвоили каждому продукту рейтинг безопасности от 0 до 100 и обнаружили, что установки от 8% поставщиков не имеют никаких проблем с безопасностью. В список вендоров, получивших наивысшую оценку A+, входят Trend Micro, Pulse Secure, BeyondTrust и Versasec.
Примерно четверть поставщиков получили оценку A, 12% - оценку B, а 15% получили самую низкую оценку F. К таковым, в частности, относятся CA Technologies, Software AG, Intel, Zoho, Symantec, A10 Networks, Cloudflare и Micro Focus. Однако, как отмечают исследователи, у одного и того же производителя есть продукты с оценкой как A+ и A, так и F. В список таких производителей входят Intel, Symantec, Soho, Cognosys и Tibco.
Прежде чем публиковать отчет, специалисты Orca Security связались с каждым вендором. По их словам, 36 тыс. уязвимостей из 400 тыс. были исправлены путем либо выпуска патча, либо удаления уязвимой установки в целом. Говоря точнее, 287 продуктов получили обновления, а 53 были удалены. Вендоры, принявшие меры безопасности после обращения Orca Security, - Dell EMC, Cisco, IBM, Symantec, Splunk, Oracle, «Лаборатория Касперского», Cloudflare, Zoho и Qualys.
Тем не менее, одни поставщики заявили, что установка обновлений всецело на совести самих пользователей, а другие – что выпускать патчи нет смысла, поскольку проэксплуатировать уязвимости в реальных атаках невозможно. Более того, некоторые производители даже пригрозили исследователям судебным иском.