O Homeland Security Systems Engineering, patrocinado pelo Department of Homeland Security, dos Estados Unidos da América, e operado pelo MITRE, lançou a lista das 25 vulnerabilidades de software mais perigosas do Common Weakness Enumeration (CWE) de 2021. O Ranking de Top 25 usa dados do National Vulnerability Database (NVD) para compilar as falhas mais frequentes e críticas que podem levar a vulnerabilidades graves nos softwares. Um invasor/atacante pode explorar essas vulnerabilidades, com certa facilidade, seja para assumir o controle de um sistema afetado, obter informações confidenciais ou causar uma condição de negação de serviço.
O Common Weakness Enumeration 2021 (CWE ™) Top 25 é uma lista demonstrativa dos problemas mais comuns e impactantes experimentados nos dois anos anteriores. Essas falhas são perigosas porque geralmente são fáceis de localizar e explorar e podem permitir que atacantes assumam completamente o controle de um sistema, roubem dados ou impeçam o funcionamento de um aplicativo.
O CWE Top 25 é um valioso recurso da comunidade de segurança da informação que pode ajudar desenvolvedores, testadores e usuários – bem como gerentes de projeto, pesquisadores de segurança e educadores – a fornecer informações sobre os pontos fracos de segurança mais graves e atuais.
Para criar a lista de 2021, a equipe CWE aproveitou os dados de Vulnerabilidades e Exposições Comuns (CVE®) encontrados no National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD), bem como as pontuações do Common Vulnerability Scoring System (CVSS) associado a cada registro CVE. Uma fórmula foi aplicada aos dados para pontuar cada fraqueza com base na prevalência e gravidade.
Abaixo está um resumo das Top 25 vulnerabilidades do CWE de 2021, incluindo a pontuação geral de cada um.
CWE 2021 – Análises e comentários
A principal diferença entre as listas top 25 do CWE de 2020 e 2021 é a contínua transição para falhas mais específicas, em oposição às mais genéricas e abstratas, em relação ao nível de categorização das classes de vulnerabilidades . Uma estimativa preliminar sugere que a porcentagem de CWEs de nível básico (Base-level CWEs) aumentou de ~ 60% para ~ 71% de todas as top 25, e a porcentagem de CWEs de nível de classe (Class-level CWEs) diminuiu de ~ 30% para ~ 20% delas. Outros níveis de fraqueza (por exemplo, categoria, composto e variante) permanecem relativamente inalterados.
Embora algumas falhas de nível de classe ainda existam na lista, eles diminuíram visivelmente na classificação, conforme influenciados pela priorização na tarefa de remapeamento (consulte a seção Tarefa de Remapeamento). Espera-se que esse movimento continue nos próximos anos, à medida que a comunidade aprimora seus mapeamentos para pontos fracos ou falhas mais precisas.
Com o declínio relativo das fraquezas no nível de classe, CWEs mais específicos subiram para tomar o lugar dessas classes de alto nível, como CWE-78 (Neutralização imprópria de elementos especiais usados em um comando OS (‘injeção de comando OS’) ), CWE-22 (Limitação imprópria de um nome de caminho para um diretório restrito (‘Path Traversal’)), CWE-434 (Upload irrestrito de arquivo com tipo perigoso), CWE-306 (Autenticação ausente para função crítica), dentre outras.
O movimento futuro subsequente beneficiará muito os usuários que estão tentando entender os problemas reais que ameaçam os sistemas de hoje, já que a equipe dos top 25 acredita que as vulnerabilidades de nível básico são mais informativos para as partes interessadas do que as de níveis de classe.
As maiores movimentações/mudanças na lista para cima foram:
- CWE-276 (Permissões padrão incorretas): de #41 para #19
- CWE-306 (Autenticação ausente para função crítica): de #24 para #11
- CWE-502 (desserialização de dados não confiáveis): de #21 a #13
- CWE-862 (autorização ausente): de #25 a #18
- CWE-77 (Neutralização imprópria de elementos especiais usados em um comando (‘Injeção de comando’)): de #31 para #25
A maioria dessas vulnerabilidades representa algumas das áreas mais difíceis de analisar um sistema. Uma teoria sobre esse movimento é que a comunidade melhorou sua educação, ferramentas e recursos de análise relacionados a algumas das deficiências mais específicas de implementação identificadas nas edições anteriores do CWE Top 25 e reduziu sua ocorrência. Isso diminuiria sua classificação, por sua vez, aumentaria a classificação dessas falhas mais difíceis.
Cinco das maiores movimentações para baixo foram:
- CWE-200 (exposição de informações confidenciais a um ator não autorizado): de #7 a #20
- CWE-119 (Restrição imprópria de operações dentro dos limites de um buffer de memória): de #5 a #17
- CWE-94 (Controle Impróprio de Geração de Código (‘Injeção de Código’)): de #17 a #28
- CWE-269 (Gerenciamento impróprio de privilégios): de #22 a #29
- CWE-732 (Atribuição de permissão incorreta para recurso crítico): de #16 a #22
As novas entradas no Top 25:
- CWE-276 (Permissões padrão incorretas): de #41 a #19
- CWE-918 (falsificação de solicitação do lado do servidor (SSRF)): de #27 a #24
- CWE-77 (Neutralização imprópria de elementos especiais usados em um comando (‘injeção de comando’)): de #31 a #25
As CWE que caíram do Top 25 foram:
- CWE-400 (Consumo de recursos não controlados): de #23 a #27
- CWE-94 (Controle Impróprio de Geração de Código (‘Injeção de Código’)): de #17 a #28
- CWE-269 (Gerenciamento impróprio de privilégios): de #22 a #29
A CISA incentiva os usuários e administradores a revisar a lista das 25 principais CWE e avaliar as atenuações recomendadas para determinar as mais adequadas a serem adotadas.
Fonte: 2021 CWE Top 25 Most Dangerous Software Weaknesses
Posts relacionados: As 10 melhores ferramentas para monitoramento contínuo / 5 perguntas de segurança que seus gestores farão inevitavelmente e Relatório sobre o prejuízo de um vazamento de dados – 2020