2021

Top 10 Sicherheitslücken im Jahr 2021

Auch in diesem Jahr gibt es wieder Top 10 Sicherheitslücken. Hierfür wird die Common Weakness Enumeration (CWE) verwendet. Die CWE ermittelt jährlich eine Top 25 Liste, aus der wir jetzt die 10 Top Sicherheitslücken vorstellen.

Was ist CWE?

Die Common Weakness Enumeration (CWE) ist eine offene Auflistung typischer Schwachstellen in Hard- und Software. Die CWE soll eine gemeinsame Basis zur Identifizierung sicherheitsrelevanter Schwächen bilden. Eine Community pflegt die Liste und die MITRE Corporation veröffentlicht diese Liste dann. Die MITRE betreibt Forschungsinstitutionen im Auftrag der Vereinigten Staaten. Sie ist eine Non-Profit Organisation, die aus dem Massachussets Institute of Technology (MIT) hervorgegangen. Die komplette Liste und auch die Methodik der Berechnung, kann hier eingesehen werden.

Top 10 Sicherheitslücken 2021

In der folgenden Tabelle werden die Top 10 Sicherheitslücken aus dem Jahr 2021 beschrieben. Wir werden uns im Folgenden einzelne CWEs im Detail anschauen.

RangOWASP Top 10 2021OWASP Top 10 2017
A01Broken Access ControlA05
A02Cryptographic FailuresA03 (ehemals Sensitive Data Exposure)
A03InjectionA01
A04Insecure DesignNeuzugang
A05Security MisconfigurationA06
A06Vulnerable and Outdated ComponentsA09
A07Identification and Authentication FailuresA02
A08Software and Data Integrity FailuresA08 (ehemals Insecure Deserialization)
A09Security Logging and Monitoring FailuresA10
A10Server-Side Request ForgeryNeuzugang

Die Schwachstelle an der Nummer eins ist das Schreiben außerhalb eines bestimmten Bereichs. Software reserviert einen bestimmten Speicherbereich und über diesen kann ein Angreifer dann hinausschreiben. Dies führt dann meist zu unvorhergesehenem Verhalten des Programms oder der Applikation, beispielsweise zu einem Absturz oder der Beschädigung von Daten. Unter Umständen kann sogar Code ausgeführt werden.  Dies kann dann zu schweren Risiken für den Einsatz von Software führen.

Unsachgemäße Neutralisierung und Risiken

Eine ganze Batterie an Schwachstellen in der Top 10 Liste ist die „Unsachgemäße Neutralisierung“. Dies bedeutet das Eingaben durch den:die Nutzer:in nicht sachgemäß gefiltert werden durch das Programm. Dies kann beispielsweise bei einem Kontaktformular passieren, bei dem der:die Nutzer:in Eingaben machen kann. Die folgende Eingabe kann beispielsweise zu einer XSS-Schwachstelle führen, wenn Eingaben des Nutzers nicht gefiltert werden.

<script>alert(1);</script>
Dies funktioniert auch mit Betriebssystem-Befehlen (OS-Injection) oder mit Datenbank-Befehlen(SQL-Injection). Die Software neutralisiert in allen Fällen die vom Benutzer kontrollierbaren Eingaben nicht oder falsch, bevor sie in die Ausgabe eingefügt werden. Dies passt auch zu Platz vier. Hier empfängt die Applikation ebenfalls nicht validierte oder falsche Daten und die Daten können in Folge dessen nicht korrekt verarbeitet werden. Der Unterschied ist, dass nicht zwingend Datenbank oder Betriebssystem Zugriff erscheint, sondern beispielsweise ein Name falsch gespeichert wird oder anderweitig Daten manipuliert werden.

 

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.