2min

Eén op de drie applicaties bevat een belangrijke of kritieke kwetsbaarheid. Verouderde software, het niet installeren van updates en een gebrek aan multifactorauthenticatie zijn de grootste boosdoeners.

Dat zijn de bevindingen van Computest Security in het onderzoek “De Staat van Applicatiebeveiliging 2024”. In een jaar tijd voerde het met ethische hackers 300 securitytests uit op applicaties van verschillende organisaties. De geteste apps blijken gemiddeld 12 kwetsbaarheden te bevatten, waarbij eenderde op basis van de CVSS-score van een kwetsbaarheid eigenlijk direct actie vereist.

CVSS-scores gelden als de industriestandaard om kwetsbaarheden in een oogopslag te duiden. Ze helpen IT-teams om potentiële cyberrisico’s te prioriteren, hoewel context altijd nodig is om het daadwerkelijke gevaar te duiden.

Tip: Wanneer is een kritieke kwetsbaarheid daadwerkelijk ernstig?

Praktijk nog slechter

Volgens Computest Security-CEO Dennis de Hoog is het beeld iets vertekend. De realiteit is namelijk mogelijk nog slechter: “De organisaties die zijn meegenomen in het geanonimiseerde onderzoek hebben ons proactief gevraagd om een securitytest en hebben daarmee al aandacht voor het periodiek uitvoeren hiervan,” laat hij weten. Hij verwacht dat het percentage kwetsbare applicaties bij alle organisaties daarom nog hoger ligt.

Een veel voorkomende kwetsbaarheid was cross-site scripting (XSS). Hierbij gaat geïnjecteerde code in actie zodra een nietsvermoedende gebruiker de applicatie draait. Computest geeft aan dat dit kan leiden tot dataverlies of een omleiding naar een malafide website. 60 procent van de gevonden XSS-kwetsbaarheden konden zelfs zonder een account plaatsvinden.

Authenticatie blijkt een weerbarstig probleem: in 34 procent van de gevallen was deze geïmplementeerd op een onveilige manier, terwijl 19 procent van de apps geen multifactorauthenticatie (MFA) bevatte.

Bekende problemen, bekende oplossingen

Een ander pijnpunt is de inzet van third-party componenten. In 70 procent van de gevallen vonden de ethische hackers hierin een kwetsbaarheid. 39 procent van de gevonden third-party software was al niet meer ondersteund.

Het blijken opnieuw basisfouten te zijn die voor problemen zorgen bij organisaties. De meest voorkomende problemen laten zich eenvoudig verklaren: verouderde software zonder ondersteuning kent bijvoorbeeld mogelijk geen vervanging, updatebeleid is onoverzichtelijk of kost ongewenste downtime. Het ontbreken van multifactorauthenticatie zou hoe dan ook minder moeten voorkomen, maar krijgt niet genoeg aandacht.

De Hoog constateert dat organisaties beter hun best moeten doen. “De maatregelen die kunnen worden genomen zijn over het algemeen geen rocket science, maar staan niet hoog op de agenda. Bovendien krijgen applicaties vaak minder aandacht dan interne- of cloud-netwerken. Dit terwijl applicaties net zo goed onderdeel uitmaken van het aanvalsoppervlak. Zolang organisaties niet getroffen worden door een security-incident is er weinig aandacht voor. Zodra er echter wel een incident plaatsvindt, is meteen de impact duidelijk. Niet alleen voor de organisatie zelf, maar ook voor de gebruikers van de applicatie en soms ook derden. Denk aan het misbruiken van data uit applicaties voor criminele doeleinden. Dit heeft doorgaans grote gevolgen voor het bedrijf en de direct en indirect betrokkenen. Daarmee werkt een incident door in de hele keten.”

Lees ook: Computest Security plukt de vruchten van overname Spaanse Incide