Diese 25 Schwachstellen sind am gefährlichsten laut MITRE

Markus Auer_klein

MITRE hat kürzlich eine Liste der 25 gefährlichsten Schwachstellen veröffentlicht, welche durch das Community-Projekt CWE (Common Weakness Enumeration) entwickelt wurde. Die Ergebnisse fußen auf zwei Jahren Arbeit und einer Analyse von Daten aus dem National Institute of Standards and Technology (NIST), der National Vulnerability Database (NVD) und dem Common Vulnerability Scoring System (CVSS). Laut MITRE sind diese Schwachstellen besonders gefährlich, weil sie oft leicht zu finden sind, akut ausgenutzt werden und sie Angreifern ermöglichen können, ein System vollständig zu übernehmen, Daten zu stehlen oder die Funktion einer Anwendung zu verhindern.

Die Top 5 der beschriebenen Schwachstellen lesen sich wie folgt:

  1. CWE-787 Out-of-Bounds Write
  2. CWE 79 Improper Neutralization of Input During Web Page Generation (Cross Site Scripting)
  3. CWE 125 Out-of-Bounds Read
  4. CWE-20 Improper Input Validation
  5. CWE-78 Improper Neutralization of Special Elements used in an OS Common (OS Common Injection)

Es wird generell zwischen Schwachstellenklassen (CWE) und tatsächlich existierenden Schwachstellen (CVE) unterschieden:

  • CWE (Common Vulnerability Enumeration): Klassen von Schwachstellen, die zu einer Sicherheitslücke führen können, z.B. CWE-89: SQL-Injection
  • CVE (Common Vulnerabilities and Exposures): Schwachstellen in bestimmten Softwarepaketen, z.B. CVE-2013-3527: SQL-Injection in Vanilla Forums

Risikobasiertes Priorisieren von Schwachstellen

Jedes Unternehmen hat zu jedem Zeitpunkt hunderte, wenn nicht tausende Schwachstellen offen. Jedoch ist eine Schwachstelle grundsätzlich nur so schlimm, wie die Bedrohung, die sie ausnutzt und die potenziellen Auswirkungen auf das Unternehmen. Sicherheitsteams müssen wissen, wie die Schwachstellen ausgenutzt werden können und einen risikobasierten Ansatz wählen, um Schwachstellen sinnvoll zu priorisieren und auszumerzen.

Über lokale Schwachstellen-Scanner können Softwareschwachstellen im eigenen Netz erkannt werden und Threat Intelligence-Quellen wie MITRE können hierbei helfen, sich auf die wichtigsten Schwachstellen-Klassen (CWEs) zu konzentrieren, welche im weiteren spezifischen Softwareschwachstellen (CVEs) zugeordnet werden.

Tools, wie z.B. eine Threat Intelligence-Plattform, ermöglichen es den Sicherheitsteams durch die folgenden drei Schritte ihre Ressourcen dort zu konzentrieren, wo das Risiko am größten ist:

  1. Verstehen der Bedrohungen und der Schwachstellen, die Angreifer ausnutzen, um die Relevanz für die Umgebung der Organisation zu bestimmen und Prioritäten zu setzen, welche Schwachstellen zuerst angegangen werden sollen.
  2. Automatische Zuordnung der Angreifer, welche auf das Unternehmen abzielen mit CVEs die ausgenutzt werden, zu Ergebnissen von Schwachstellen-Scans für diese Ziele, um ein besseres Risikoprofil zu erstellen.
  3. Kontinuierliche Neubewertung und Neufestlegung der Prioritäten, wenn sich sowohl die Gegner und ihre Taktiken, Techniken und Verfahren (TTPs), als auch Systeme, Anwendungen und die Umgebung der Organisation ändern.

Ein risikobasiertes Schwachstellenmanagement ermöglicht es Unternehmen, ein besseres Situationsbewusstsein über Angreifer, ihre Methoden und das eigene Umfeld zu erlangen. Durch klare Prioritäten, welche Maßnahmen zuerst ergriffen werden müssen, um welche Schwachstellen zu beheben, können sich Security-Teams auf die Schwachstellen konzentrieren, die aufgrund des individuellen Risikoprofils am kritischsten sind.

 

Autor: Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient