O Homeland Security Systems Engineering, patrocinado pelo Department of Homeland Security, dos Estados Unidos da América, e operado pelo MITRE, lançou a lista das 25 vulnerabilidades de software mais perigosas do Common Weakness Enumeration (CWE) de 2021. O Ranking de Top 25 usa dados do National Vulnerability Database (NVD) para compilar as falhas mais frequentes e críticas que podem levar a vulnerabilidades graves nos softwares. Um invasor/atacante pode explorar essas vulnerabilidades, com certa facilidade, seja para assumir o controle de um sistema afetado, obter informações confidenciais ou causar uma condição de negação de serviço.

O Common Weakness Enumeration 2021 (CWE ™) Top 25 é uma lista demonstrativa dos problemas mais comuns e impactantes experimentados nos dois anos anteriores. Essas falhas são perigosas porque geralmente são fáceis de localizar e explorar e podem permitir que atacantes assumam completamente o controle de um sistema, roubem dados ou impeçam o funcionamento de um aplicativo.

O CWE Top 25 é um valioso recurso da comunidade de segurança da informação que pode ajudar desenvolvedores, testadores e usuários – bem como gerentes de projeto, pesquisadores de segurança e educadores – a fornecer informações sobre os pontos fracos de segurança mais graves e atuais.

Para criar a lista de 2021, a equipe CWE aproveitou os dados de Vulnerabilidades e Exposições Comuns (CVE®) encontrados no National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD), bem como as pontuações do Common Vulnerability Scoring System (CVSS) associado a cada registro CVE. Uma fórmula foi aplicada aos dados para pontuar cada fraqueza com base na prevalência e gravidade.

Abaixo está um resumo das Top 25 vulnerabilidades do CWE de 2021, incluindo a pontuação geral de cada um.

CWE 2021 – Análises e comentários

A principal diferença entre as listas top 25 do CWE de 2020 e 2021 é a contínua transição para falhas mais específicas, em oposição às mais genéricas e abstratas, em relação ao nível de categorização das classes de vulnerabilidades . Uma estimativa preliminar sugere que a porcentagem de CWEs de nível básico (Base-level CWEs) aumentou de ~ 60% para ~ 71% de todas as top 25, e a porcentagem de CWEs de nível de classe (Class-level CWEs) diminuiu de ~ 30% para ~ 20% delas. Outros níveis de fraqueza (por exemplo, categoria, composto e variante) permanecem relativamente inalterados.

Embora algumas falhas de nível de classe ainda existam na lista, eles diminuíram visivelmente na classificação, conforme influenciados pela priorização na tarefa de remapeamento (consulte a seção Tarefa de Remapeamento). Espera-se que esse movimento continue nos próximos anos, à medida que a comunidade aprimora seus mapeamentos para pontos fracos ou falhas mais precisas.

Com o declínio relativo das fraquezas no nível de classe, CWEs mais específicos subiram para tomar o lugar dessas classes de alto nível, como CWE-78 (Neutralização imprópria de elementos especiais usados ​​em um comando OS (‘injeção de comando OS’) ), CWE-22 (Limitação imprópria de um nome de caminho para um diretório restrito (‘Path Traversal’)), CWE-434 (Upload irrestrito de arquivo com tipo perigoso), CWE-306 (Autenticação ausente para função crítica), dentre outras.

O movimento futuro subsequente beneficiará muito os usuários que estão tentando entender os problemas reais que ameaçam os sistemas de hoje, já que a equipe dos top 25 acredita que as vulnerabilidades de nível básico são mais informativos para as partes interessadas do que as de níveis de classe.

As maiores movimentações/mudanças na lista para cima foram:

• CWE-276 (Permissões padrão incorretas): de #41 para #19

• CWE-306 (Autenticação ausente para função crítica): de #24 para #11

• CWE-502 (desserialização de dados não confiáveis): de #21 a #13

• CWE-862 (autorização ausente): de #25 a #18

• CWE-77 (Neutralização imprópria de elementos especiais usados ​​em um comando (‘Injeção de comando’)): de #31 para #25

A maioria dessas vulnerabilidades representa algumas das áreas mais difíceis de analisar um sistema. Uma teoria sobre esse movimento é que a comunidade melhorou sua educação, ferramentas e recursos de análise relacionados a algumas das deficiências mais específicas de implementação identificadas nas edições anteriores do CWE Top 25 e reduziu sua ocorrência. Isso diminuiria sua classificação, por sua vez, aumentaria a classificação dessas falhas mais difíceis.

Cinco das maiores movimentações para baixo foram:

• CWE-200 (exposição de informações confidenciais a um ator não autorizado): de #7 a #20

• CWE-119 (Restrição imprópria de operações dentro dos limites de um buffer de memória): de #5 a #17

• CWE-94 (Controle Impróprio de Geração de Código (‘Injeção de Código’)): de #17 a #28

• CWE-269 (Gerenciamento impróprio de privilégios): de #22 a #29

• CWE-732 (Atribuição de permissão incorreta para recurso crítico): de #16 a #22

As novas entradas no Top 25:

• CWE-276 (Permissões padrão incorretas): de #41 a #19

• CWE-918 (falsificação de solicitação do lado do servidor (SSRF)): de #27 a #24

• CWE-77 (Neutralização imprópria de elementos especiais usados ​​em um comando (‘injeção de comando’)): de #31 a #25

As CWE que caíram do Top 25 foram:

• CWE-400 (Consumo de recursos não controlados): de #23 a #27

• CWE-94 (Controle Impróprio de Geração de Código (‘Injeção de Código’)): de #17 a #28

• CWE-269 (Gerenciamento impróprio de privilégios): de #22 a #29

A CISA incentiva os usuários e administradores a revisar a lista das 25 principais CWE e avaliar as atenuações recomendadas para determinar as mais adequadas a serem adotadas.

Fonte: 2021 CWE Top 25 Most Dangerous Software Weaknesses

Posts relacionados: As 10 melhores ferramentas para monitoramento contínuo / 5 perguntas de segurança que seus gestores farão inevitavelmente e Relatório sobre o prejuízo de um vazamento de dados – 2020