Intel ist unser Open-Source-Security-Threat-Feed, der von AI und unserem internen Forschungsteam betrieben wird. Intel überwacht und deckt Schwachstellen in Open-Source-Paketen auf, bevor sie offengelegt werden. Viele werden nie offengelegt.
67 % der still behobenen Software-Schwachstellen wurden nie offengelegt
Open-Source-Software treibt die Welt an, im wahrsten Sinne des Wortes. Die Open-Source-Sicherheit ist jedoch auch ein Bereich großer Sicherheitsbedenken. Open-Source-Tools können, wie alles andere auch, Sicherheitslücken einführen. Diese können von Angreifern genutzt werden, um Ihre Anwendung auszunutzen. Softwareanbieter werden unverschuldet Angriffen ausgesetzt. Dies macht die Open-Source-Sicherheit zu einem sehr wichtigen Thema.
Wir verlassen uns nicht nur auf die Open-Source-Community, um diese Tools zu entwickeln und zu warten, wir verlassen uns auch auf sie, um bekannte Sicherheitslücken zu beheben. Wichtig ist, dass wir uns auch auf diese Maintainer verlassen, die Schwachstellen öffentlich melden, wenn sie entdeckt werden. Die öffentliche Offenlegung von Schwachstellen durch die Community bildet die Grundlage der Open-Source-Sicherheit.
Silent Patching oder Shadow Patching liegt vor, wenn ein Sicherheits-Fix angewendet (gepatcht), aber nie offengelegt wird. Dies ist ein großes Problem, da es bedeutet, dass Anbieter anfällige Software betreiben könnten, ohne sich des Risikos bewusst zu sein.
Wir starten Aikido , um stillschweigend gepatchte Software, die Sie betreffen könnte, ans Licht zu bringen. Mit Aikido können wir Entwickler so früh wie möglich warnen, wenn wir Schwachstellen finden, die sie betreffen könnten, und so die Sicherheit von Open-Source-Software verbessern.
Was ist Aikido ?
Aikido ist eine Initiative von AI + unserem internen Forschungsteam, um die Open-Source-Sicherheit zu verbessern, indem Schwachstellen in der Open-Source-Lieferkette so früh wie möglich entdeckt werden. Noch bevor sie in einer Schwachstellendatenbank veröffentlicht werden. Um dies zu erreichen, verwenden wir speziell trainierte LLMs, um Änderungen in Paketen zu überprüfen und festzustellen, wann ein Sicherheitsproblem behoben wurde.
Wie jede Software führt auch Open Source ein Änderungsprotokoll darüber, was in jeder neuen Version angepasst wurde. Intel nutzt KI, um all diese öffentlichen Änderungsprotokolle und Versionshinweise zu lesen und Beispiele dafür zu finden, wo Sicherheitsprobleme behoben wurden. Diese werden dann mit fünf Schwachstellendatenbanken abgeglichen, um festzustellen, ob das Problem gemeldet wurde. Ist dies nicht der Fall, beauftragen wir einen Sicherheitsingenieur mit der Analyse und Bewertung der Schwachstelle, weisen ihr eine Aikido und einen Schweregrad zu und geben sie öffentlich bekannt, damit Sie wissen, ob Sie davon betroffen sind. Weitere Details hierzu finden Sie weiter unten.
Jetzt bei Aikido vorbeischauen
Aikido in Zahlen
Seit der Einführung von Aikido im Januar hat Intel 511 Sicherheitslücken entdeckt , die zwar gepatcht, aber nicht öffentlich bekannt gegeben wurden und eine echte Gefahr für alle Nutzer dieser Pakete darstellen.
Manchmal kann es einige Zeit dauern, bis eine Schwachstelle gepatcht und ihr eine CVE-Nummer zugewiesen wird. Jede Woche Aikido den Status früherer Schwachstellen, um festzustellen, ob ihnen eine CVE zugewiesen wurde. Wir können offenlegen, dass 67 % der von uns entdeckten Schwachstellen niemals öffentlich in einer Schwachstellendatenbank veröffentlicht wurden!
Während es keine Überraschung ist, dass Schwachstellen mit geringer Schwere häufiger stillschweigend gepatcht werden, ist es dennoch schockierend, dass über 50 % der kritischen und schwerwiegenden Schwachstellen nie offengelegt werden. Dies schafft einen riesigen blinden Fleck für Entwickelnde und Softwareanbieter.
Ich weiß, dass einige von Ihnen sich jetzt winden und sagen werden, dass dies vielleicht kleine, nicht so beliebte Open-Source-Projekte mit begrenzten Sicherheitsrichtlinien sind, aber tatsächlich würden Sie sich irren. Wir haben einige nicht offengelegte Schwachstellen in sehr großen Projekten gefunden.
Axios, ein Promise-basierter HTTP-Client für Browser und Node.js mit 56 Millionen wöchentlichen Downloads und über 146.000 Abhängigkeiten, behob eine Schwachstelle für Prototype Pollution im Januar 2024, die nie öffentlich bekannt gegeben wurde.
Interessante Tatsache zu dieser Schwachstelle: Dies war tatsächlich die erste Schwachstelle, die Aikido entdeckt hat (siehe Nummer 2023-10001) … Sie ist bis heute nicht bekannt gegeben worden!
Ich möchte es ihnen jetzt nicht überlassen, Axios ist nicht allein, es gibt noch einige andere Namen, die eine besondere Erwähnung verdienen. Apache hat stillschweigend eine Schwachstelle in der echarts-Software für Cross-Site-Scripting behoben, die nie offengelegt wurde.
Ein weiteres interessantes Beispiel, das wir entdeckten, war eine kritische Path-Traversal-Schwachstelle im Chainlit, die im September gepatcht wurde, aber die Schwachstelle wurde nie öffentlich bekannt gegeben.
Die häufigsten Schwachstellen
Cross-Site-Scripting war mit 14,8 % die häufigste unentdeckte Schwachstelle, gefolgt von der Offenlegung sensibler Informationen mit 12,3 %. Insgesamt haben wir 90 verschiedene Arten von Schwachstellen entdeckt, was zu einer langen Liste von Ergebnissen führte; nachfolgend sind einige der häufigsten aufgeführt.
Die häufigsten entdeckten Schwachstellen
Betrachten wir nur die kritischen und hohen Schwachstellen, zeigt sich ein etwas anderes Bild, wobei die Remote Code Execution den ersten Platz auf der Liste einnimmt.
Die am häufigsten entdeckten Schwachstellen – nur Kritisch und Hoch
Zeit bis zur Offenlegung
Während zum Zeitpunkt der Erstellung dieses Dokuments 67 % der Pakete ihre Schwachstellen nie offengelegt haben, taten dies 31 %, sei es von den Maintainern oder Sicherheitsforschenden (ein Lob an sie). Bei den Paketen, die die Schwachstellen offengelegt haben, dauerte es durchschnittlich 27 Tage von der Veröffentlichung des Patches bis zur Zuweisung einer CVE. Die schnellste von uns beobachtete Zeit betrug nur 1 Tag und die längste Zeit betrug 9 Monate!
Wie Intel funktioniert (im Detail)
Ich weiß, dass wir alle die Nase voll haben von diesem neuen KI-Bullshit, aber Intel ist eine Initiative des Sicherheitsforschungsteams Aikido, und das KI-Team Aikido nutzt KI mit einem Menschen im Loop, um einen öffentlichen Bedrohungs-Feed bereitzustellen und so die Open-Source-Sicherheit zu verbessern.
Intel liest alle öffentlich verfügbaren Änderungsprotokolle und Versionshinweise durch, um festzustellen, ob Sicherheitsupdates durchgeführt, aber nicht veröffentlicht wurden. Dazu werden zwei LLM-Modelle verwendet: eines zum Filtern der Daten und Entfernen aller unnötigen Kontextinformationen, damit sich das zweite LLM auf die Schwachstellenanalyse konzentrieren kann. Anschließend überprüft ein human security die Ergebnisse des LLM, validiert die Ergebnisse und veröffentlicht einen Intel, wenn eine Schwachstelle bestätigt wurde.
Dies ist eine so effektive Methode, weil sie bemerkenswert weniger Rechenleistung verbraucht, als der Versuch, all diese Systeme nach Schwachstellen zu scannen. Dennoch hat sie sich über ein Jahr hinweg als erfolgreich erwiesen, viele echte Ergebnisse zu finden.
Wie Changelogs von Aikido angezeigt werden
Changelogs sind Dokumente, die in Open-Source-Projekten gepflegt werden und Updates, Bugfixes, Funktionserweiterungen und Patches festhalten. Beispiele sind CHANGELOG.md Dateien, Commit-Nachrichten und GitHub Release Notes.
Das Intel LLM identifiziert Einträge, die sicherheitsrelevante Änderungen vorschlagen, indem es nach Folgendem sucht:
- Keywords: „Schwachstelle“, „Sicherheit“, „Fix“, „Exploit“, „Eingabevalidierung“ usw.
- Kontextuelle Hinweise: „Kritischen Bug behoben“, „Pufferüberlauf gepatcht“, „Authentifizierungsprobleme gelöst“
Beispieleinträge, vom LLM gekennzeichnet:- Ein Problem bei der Eingabebereinigung im Login-Handler wurde behoben.
- Ein Speicherleck, das zu Denial-of-Service-Angriffen führen könnte, wurde behoben.
- Eine Path-Traversal-Schwachstelle in der Datei-Upload-Funktionalität wurde adressiert.
Open-Source-Sicherheit, wie Schwachstellen ordnungsgemäß offengelegt werden
Wie bereits erwähnt, ist die öffentliche Offenlegung ein wichtiger Bestandteil der Open-Source-Sicherheit. Es gibt mehrere verschiedene Datenbanken, in denen Schwachstellen in Software offengelegt werden. Die wichtigste Datenbank ist die National Vulnerability Database (NVD), die von der US-Regierung gepflegt wird. Diese Datenbank wird nicht nur von Unternehmen zur Überprüfung ihrer Lieferkette genutzt, sondern auch von Sicherheitssoftware, die Projekte anhand dieser und anderer Datenbanken überprüft (SCA ). Es gibt mehrere andere Datenbanken, darunter die Common Vulnerabilities and Exposures Database (CVE) von Mitre, die GitHub Advisory Database und viele mehr. Insgesamt Aikido fünf verschiedene Datenbanken. Die meisten dieser Datenbanken haben jedoch gemeinsam, dass Schwachstellen öffentlich bekannt gegeben werden müssen, in der Regel nachdem ein Fix veröffentlicht wurde.
Warum werden Schwachstellen nicht offengelegt?
Das ist eine gute Frage, und ich möchte vorausschicken, dass es keinen guten Grund gibt, Schwachstellen nicht offenzulegen. Der vielleicht häufigste Grund ist das Reputationsrisiko, dass Ihre Software als unsicher angesehen werden könnte, aber ich würde behaupten, dass man durch Nicht-Offenlegung viel mehr verlieren kann als durch Offenlegung.
Warum Shadow Patching ein Problem für die Open-Source-Sicherheit darstellt
Das Nicht-öffentliche Offenlegen von Schwachstellen in Ihrer Software birgt ein enormes Risiko für Ihre Benutzer. Wie das Sprichwort sagt: „Never change a running system“ – dies gilt oft für Software.
Das Aktualisieren von Softwarekomponenten kann oft Probleme bei der Performance und Benutzerfreundlichkeit verursachen oder Ihre Anwendung einfach zum Absturz bringen. Daher ist es nicht immer gängige Praxis, Pakete sofort zu aktualisieren, wenn eine neuere Version verfügbar ist.
Wenn jedoch ein Sicherheitsproblem in einer Komponente auftritt, ist es wichtig, dies zu wissen, da es die Dringlichkeit ändert, mit der Sie Ihre Open-Source- und Drittanbieterkomponenten aktualisieren. Die Nichtoffenlegung dieser Informationen bedeutet, dass Benutzer seltener aktualisieren, was dazu führt, dass sie Sicherheitslücken in ihren Tools haben, von denen sie nichts wussten. Daher ist Shadow Patching ein solches Problem.
Lassen Sie nicht zu, dass versteckte Schwachstellen Ihre Sicherheit gefährden.
Werden Sie noch heute Partner von Aikido , um Ihre Lieferkette zu schützen und sich Sicherheit zu verschaffen.
Sichern Sie Ihre Software jetzt.
.avif)
