Zranitelné a nedůvěryhodné komponenty

• Aplikace do značné míry spoléhají na hotové komponenty (např. open source balíčky).
• Komponenty často nejsou spravovány, nejsou transparentní a vystavují aplikace nebezpečím spojeným s dodavatelským řetězcem.
  • V mnoha případech jsou aplikace vytvářeny dodavateli.
• Kromě toho Low-code/No-code platformy často umožňují rozšíření aplikace pomocí vlastního kódu.
• V některých případech se na tento kód nevztahuje stejná úroveň bezpečnostní ostražitosti jako na kód platformy.

Jak zranitelnosti předcházet

🔴 Odstraňte nepoužívané závislosti, nepotřebné funkce, komponenty, soubory a dokumentaci.

🔴 Sledujte verze aplikací a komponent a vyhledávejte zastaralé a zranitelné komponenty.

🔴 Omezte používání komponent na předem určené a prověřené komponenty.

🔴 Monitorujte komponenty, které nejsou udržovány nebo nevytvářejí bezpečnostní záplaty pro starší verze.

Příklad zneužití zranitelnosti

1. Vývojáři v celé aplikaci používají zranitelnou komponentu.
   • Každá aplikace, která tuto komponentu používá, je vystavena zneužití.
   • Pro správce je obtížné najít aplikace, které jsou komponentou ovlivněny.
2. Vývojář vytvoří vlastní konektor, který umožňuje připojení k internímu API.
   • Autentizační token je předáván prostřednictvím URL.
   • Tím se uživatelům aplikace zpřístupní autentizační secrets.

Kam dál

• Zranitelné a zastaralé komponenty
• CVE-2021-44228: Incident Report for Mendix Technology B.V.