Beratung

Top 10 Sicherheitslücken im Jahr 2021

Aktualisiert am

Auch in diesem Jahr gibt es wieder Top 10 Sicherheitslücken. Hierfür wird die Common Weakness Enumeration (CWE) verwendet. Die CWE ermittelt jährlich eine Top 25 Liste, aus der wir jetzt die 10 Top Sicherheitslücken vorstellen.

Was ist CWE?

Die Common Weakness Enumeration (CWE) ist eine offene Auflistung typischer Schwachstellen in Hard- und Software. Die CWE soll eine gemeinsame Basis zur Identifizierung sicherheitsrelevanter Schwächen bilden. Eine Community pflegt die Liste und die MITRE Corporation veröffentlicht diese Liste dann. Die MITRE betreibt Forschungsinstitutionen im Auftrag der Vereinigten Staaten. Sie ist eine Non-Profit Organisation, die aus dem Massachussets Institute of Technology (MIT) hervorgegangen. Die komplette Liste und auch die Methodik der Berechnung, kann hier eingesehen werden.

Top 10 Sicherheitslücken 2021

In der folgenden Tabelle werden die Top 10 Sicherheitslücken aus dem Jahr 2021 beschrieben. Wir werden uns im Folgenden einzelne CWEs im Detail anschauen.

RangCWE-IDBeschreibung
1CWE-787
Unerlaubtes Schreiben
2CWE-79Unsachgemäße Neutralisierung von Eingaben bei der Generierung von Webseiten ('Cross-Site Scripting')
3CWE-125Unerlaubtes Lesen
4CWE-20Unsachgemäße Eingabevalidierung
5CWE-78Unsachgemäße Neutralisierung von speziellen Elementen, die in einem Betriebssystem-Befehl verwendet werden ("OS Command Injection")
6CWE-89Unsachgemäße Neutralisierung von speziellen Elementen, die in einem SQL-Befehl verwendet werden ('SQL Injection')
7CWE-416Use After Free
8CWE-22Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis ('Path Traversal')
9CWE-352Cross-Site Request Forgery (CSRF)
10CWE-434Uneingeschränkter Upload von Dateien eines gefährlcichen Typs

Die Schwachstelle an der Nummer eins ist das Schreiben außerhalb eines bestimmten Bereichs. Software reserviert einen bestimmten Speicherbereich und über diesen kann ein Angreifer dann hinausschreiben. Dies führt dann meist zu unvorhergesehenem Verhalten des Programms oder der Applikation, beispielsweise zu einem Absturz oder der Beschädigung von Daten. Unter Umständen kann sogar Code ausgeführt werden.  Dies kann dann zu schweren Risiken für den Einsatz von Software führen.

Unsachgemäße Neutralisierung und Risiken

Eine ganze Batterie an Schwachstellen in der Top 10 Liste ist die “Unsachgemäße Neutralisierung”. Dies bedeutet das Eingaben durch den:die Nutzer:in nicht sachgemäß gefiltert werden durch das Programm. Dies kann beispielsweise bei einem Kontaktformular passieren, bei dem der:die Nutzer:in Eingaben machen kann. Die folgende Eingabe kann beispielsweise zu einer XSS-Schwachstelle führen, wenn Eingaben des Nutzers nicht gefiltert werden.

<script>alert(1);</script>
Dies funktioniert auch mit Betriebssystem-Befehlen (OS-Injection) oder mit Datenbank-Befehlen(SQL-Injection). Die Software neutralisiert in allen Fällen die vom Benutzer kontrollierbaren Eingaben nicht oder falsch, bevor sie in die Ausgabe eingefügt werden. Dies passt auch zu Platz vier. Hier empfängt die Applikation ebenfalls nicht validierte oder falsche Daten und die Daten können in Folge dessen nicht korrekt verarbeitet werden. Der Unterschied ist, dass nicht zwingend Datenbank oder Betriebssystem Zugriff erscheint, sondern beispielsweise ein Name falsch gespeichert wird oder anderweitig Daten manipuliert werden.

Foto des Autors

Jan Hörnemann

Ich bin Jan Hörnemann, TeleTrust Information Security Professional (T.I.S.P.) und seit 2016 leidenschaftlich in der Welt der Informationssicherheit unterwegs. Mein Master of Science in Internet-Sicherheit hat mir ein fundiertes Verständnis für verschiedene Aspekte dieser Branche vermittelt, das ich in meiner laufenden Promotion kontinuierlich ausbaue. In der AWARE7 bin ich Chief Operating Officer und Prokurist, gleichzeitig koordiniere ich die Abteilungen "Informationssicherheit" und "Offensive Services" und sorge dafür, dass alle Projekte reibungslos ablaufen.