Laut dem Orca Security 2020 State of Virtual Appliance Security Report sind weniger als acht Prozent der von den unterschiedlichsten Herstellern angebotenen Virtual Appliances frei von Schwachstellen. Die Sicherheitsforscher fanden
in 2218 virtuellen Appliances von 540 Anbietern insgesamt 401'571 Sicherheitslecks. Darunter finden sich 17 besonders kritische und eigentlich längst bekannte Lücken wie Eternalblue, Dejablu3, Bluekeep, Dirtycow und Heartbleed. Mit ein Grund dafür dürfte sein, dass 47 Prozent der analysierten Produkte innerhalb der vergangenen 12 Monate kein Update erhielten. Bei ganzen 16 Prozent ist die letzte Aktualisierung gar mehr als drei Jahre her, oder sie setzen auf veraltete Betriebssysteme.
Die untersuchten Anbieter stammen zu knapp 70 Prozent aus den USA, Europa trägt knapp 18 Prozent und Asia-Pacific etwas mehr als 12 Prozent bei. Dass in den fixfertig konfigurierten Images teils kritische Sicherheitslücken klaffen, irritiert aus einem Grund besonders: Virtual Appliances kommen oft für zentrale Sicherheitsfunktionen zum Einsatz, wie etwa Firewalls oder Verschlüsselungslösungen – oder sogar Dienste, die das Auffinden von Schwachstellen zum Zweck haben.
Orca hat die Virtual-Appliance-Anbieter und deren Produkte mit Noten von A+ bis F eingeteilt. Rund 15 Prozent der Lösungen erhielten die schwächste Note F, und 566 Prozent wurden mit C oder weniger bewertet. Einige der Anbieter haben inzwischen reagiert und ihre Virtual Appliances auf den neuesten Stand gebracht. Der Bericht, der auf der Orca-Website nach einer Registrierung zum
Download bereitsteht, gibt detaillierte Auskunft über die Ergebnisse.
(ubi)
