EN

Was ist Common Weakness Enumeration (CWE)?

In diesem Artikel:

Da die Daten- und Netzwerksicherheit ein wichtiges Anliegen der modernen Softwareentwicklung ist, wurden mehrere Rahmenwerke und Richtlinien zur Verwaltung sicherer Systeme entwickelt. Die Common Weakness Enumeration (CWE)-Datenbank ist ein von der Gemeinschaft entwickeltes Projekt, das einen Katalog allgemeiner Schwachstellen in der Software und Hardware des Technologie-Stacks eines Unternehmens enthält. Die Datenbank enthält detaillierte Beschreibungen gängiger Schwachstellen und gibt Anleitungen für sichere Programmierstandards. 

Dieser Artikel befasst sich mit der Aufzählung allgemeiner Schwachstellen, einigen der wichtigsten Schwachstellen und häufig gestellten Fragen.

Was ist die Common Weakness Enumeration?

Die Common Weakness Enumeration (CWE)-Datenbank listet Cyber-Schwachstellen für jedes Hardware- oder Softwareprodukt auf. Die CWE identifiziert und kategorisiert die Art der Schwachstelle, die mit der Schwachstelle verbundenen Sicherheitsprobleme und die möglichen Präventionsmaßnahmen zur Behebung erkannter Sicherheitslücken. 

Der von Mitre unterstützte CWE ist ein von der Community entwickelter Katalog, der einen datengesteuerten Ansatz für die Cybersicherheit darstellt. Sicherheitsteams stützen sich in der Regel auf den CWE-Katalog als Input für sichere Programmierpraktiken und die Gestaltung des Schwachstellenmanagementprogramms. CWE wird auch als entscheidend für die Verwaltung der Risiken einer Cyber-Supply-Chain angesehen, da es zur Identifizierung und Behebung potenzieller Sicherheitsschwachstellen in Komponenten von Drittanbietern in einem Unternehmensnetzwerk verwendet werden kann.

Was ist eine CWE-Schwachstelle?

CWE-Schwachstellen sind Fehler in Software- und Hardwaresystemen, die zu Sicherheitsproblemen führen, wenn sie nicht behoben werden. Die CWE-Datenbank kategorisiert über 600 Schwachstellen auf Klassen- und Basisebene, wobei die schwerwiegendsten Typen unter CWE Top 25 aufgeführt sind. Die Datenbank listet die Schwachstellen zusammen mit ihren Auswirkungen auf, hilft Unternehmen, die Angriffsfläche zu verstehen, und zeigt Ansätze zur Härtung der zugrunde liegenden Systeme auf.

Beispiele für häufige Schwachstellenaufzählungen

In der CWE-Liste sind einige häufige Sicherheitsschwachstellen aufgeführt:

Out-of-Bounds Write (CWE-787)

Diese Sicherheitsschwachstelle tritt auf, wenn die Anwendung Daten außerhalb der Grenzen eines vorgesehenen Eingabepuffers schreibt. Die Schwachstelle kann auch entstehen, wenn die Anwendung Zeigerarithmetik ausführt oder einen Index ändert, um auf eine Stelle außerhalb des Speicherpuffers zu verweisen. Diese Speicherbeschädigung führt häufig zu unbeabsichtigter Codeausführung, einem Absturz oder zur Beschädigung von Daten. 

Die Wahrscheinlichkeit, dass die Schwachstelle beim Schreiben außerhalb der Grenzen ausgenutzt wird, ist mit einer Anzahl von 3033 in der National Vulnerability Database (NVD) sehr hoch. Der Schweregrad eines Angriffs ist ebenfalls hoch, mit einer durchschnittlichen CVSS-Wertung (Common Vulnerability Scoring System) von 8,22 und einer Gesamtsicherheitsbewertung von 65,93.

Out-of-Bounds Read (CWE-125)

Die Sicherheitslücke CWE-125 tritt auf, wenn die Anwendung Daten außerhalb der Grenzen des vorgesehenen Ausgabepuffers lesen kann. Angreifer können sensible Informationen aus dem Out-of-Bounds-Speicher lesen, um geheime Werte zu erhalten, die zur Umgehung von Authentifizierungsmechanismen und zur Ausnutzung anderer Schwachstellen für weitere Zugriffe verwendet werden können.

Die Schwachstelle kann auch zu einem Speicherpufferüberlauf, Segmentierungsfehlern und sogar zu einem Systemabsturz führen. Dies kann passieren, wenn die Anwendung variable Datenwerte liest, in der Annahme, dass ein Prozess existiert, der den Lesevorgang außerhalb des angegebenen Pufferspeichers beendet. 

Die Schwachstelle CWE-125 ist ein mittelschwerer Angriffsvektor mit einem CVSS-Wert von 6,94, einer NVD-Anzahl von 1448 und einem Gesamtsicherheitswert von 24,9.

Unsachgemäße Neutralisierung von Eingaben (CWE-79)

Diese auch als Cross-Site Scripting (XSS) bekannte Schwachstelle tritt auf, wenn ein Angreifer bösartigen Code in Websites einschleusen kann, in der Regel über browserseitige Skripte. Die Schwachstelle tritt häufig bei Anwendungen auf, die nicht vertrauenswürdige Daten in einer dynamisch generierten Webseite ohne ordnungsgemäße Neutralisierung akzeptieren. In solchen Fällen wird das bösartige Skript/die bösartigen Daten verwendet, um unerwünschte Aktionen wie die Übertragung sensibler Daten oder das Senden anormaler HTTP-Anfragen innerhalb des Sicherheitskontexts des Webservers durchzuführen. 

Die CWE-79-Schwachstelle hat eine hohe Wahrscheinlichkeit, ausgenutzt zu werden, mit einer NVD-Zahl von 3564. Der Schweregrad eines solchen Angriffs ist mittel, wobei die Schwachstelle einen durchschnittlichen CVSS-Wert von 5,8 und einen CWE-Gesamtsicherheitswert von 46,84 erreicht.

Unsachgemäße Eingabevalidierung (CWE-20)

Die CWE-20-Schwachstelle tritt in Anwendungen auf, die Eingabedaten akzeptieren, aber nicht angemessen überprüfen, ob die gelieferten Eingaben die für eine sichere Verarbeitung erforderlichen Eigenschaften aufweisen. Ein Angreifer kann unerwartete Eingaben vornehmen, die auf eine begrenzte Ressource zugreifen oder Remotecode ausführen, wenn die Anwendung einen veränderten Kontrollflusspfad erhält. Schwachstellen bei der Eingabevalidierung sind in der Regel auf Mängel bei der Umsetzung von Architekturkonzepten im SDLC oder bei der Anwendung von Best Practices bei der Entwicklung zurückzuführen. 

Der Schweregrad der unsachgemäßen Eingabevalidierung in Software ist gering, mit einem durchschnittlichen CVSS-Score von 7,25. Die Wahrscheinlichkeit der Ausnutzung ist mit einer NVD-Anzahl von 1120 und einer Gesamtsicherheitsbewertung von 20,47 mittelhoch.

Unsachgemäße Neutralisierung von Spezialelementen (CWE-78)

Die Sicherheitslücke CWE-78 tritt in Softwareanwendungen auf, die einen Teil oder einen ganzen Betriebssystembefehl unter Verwendung externer Eingaben konstruieren, die von einer vorgeschalteten Komponente geliefert werden. Diese Schwachstelle, die auch als OS-Befehlsinjektion bekannt ist, wird möglich, wenn die Anwendung in der Eingabe vorhandene Elemente nicht neutralisiert, die den Befehl verändern könnten, wenn er an die vorgesehene nachgelagerte Komponente gesendet wird.

Die CWE 78-Schwachstelle ermöglicht es Angreifern, Befehle direkt auf dem Betriebssystem auszuführen, ohne direkten Zugriff auf die Plattform zu haben. Da ein Angreifer privilegierte Programme missbrauchen kann, um Berechtigungen zu erhalten und Befehle anzugeben, die standardmäßig unzugänglich sind, führt die OS-Befehlsinjektion häufig zu einer unsachgemäßen Verwaltung von Berechtigungen. 

OS Command Injection ist eine mittelschwere Schwachstelle mit einem NVD-Wert von 833. Der Schweregrad von Angriffen, die auf die CWE-78-Schwachstelle abzielen, ist mit einem durchschnittlichen CVSS-Wert von 8,71 und einem Gesamtsicherheitswert von 19,55 gering.

Weitere Schwachstellen auf der CWE-Top-25-Liste, die von hohem bis mittlerem Schweregrad reichen, sind

  • Unsachgemäße Neutralisierung von eindeutigen Elementen, die in SQL-Befehlen/SQL-Injection verwendet werden – (CWE-89)
  • Verwendung nach der Freigabe – (CWE-416)
  • Unzulässige Einschränkung von Operationen innerhalb der Grenzen einer Speicherübertragung – (CWE-119)
  • Deserialisierung von nicht vertrauenswürdigen Daten – (CWE-502)
  • Unzulässige Authentifizierung – (CWE-287)
  • Cross-Site Request Forgery – (CWE-352)
  • Fehlende Autorisierung – (CWE-862)
  • Gemeinsam genutzte Ressource mit unsachgemäßer Synchronisierung (‚Race Condition‘) – (CWE-362)
  • Unzulässige Neutralisierung von Elementen, die in einem Befehl verwendet werden (‚command injection‘) – (CWE-77)

Häufig gestellte Fragen

Was ist der Unterschied zwischen CWE, CVE und OWASP?

Die Common Weakness Enumeration (CWE), Common Vulnerabilities & Exposures (CVE) und das Online Web Application Security Project (OWASP) – sie alle bieten Sicherheitsforschern Richtlinien für sichere Programmierpraktiken. 

CVE ist eine Liste bekannter Cybersicherheitsschwachstellen und potenzieller Anfälligkeiten von Unternehmensressourcen. 

OWASP ist eine Gemeinschaftsinitiative, die die Top 10 Schwachstellen auflistet – eine Liste der gefährlichsten Softwareschwachstellen und Sicherheitslücken, die Webanwendungen betreffen. 

CWE ist eine vollständige Schwachstellen-Datenbank, die eine Grundlage für die Identifizierung von Schwachstellen und die Behebung von software- und hardwarebasierten Sicherheitslücken im Technologie-Stack eines Unternehmens bietet.

CWE stützt sich auf CVE- und OWASP-Daten, um die schwerwiegendsten Sicherheitsschwachstellen, deren Ausnutzungswahrscheinlichkeit, Auswirkungen und Präventivmaßnahmen zu identifizieren und zu kategorisieren.

Welchen Zweck erfüllen CWE und CVSS?

Common Weakness and Enumeration (CWE) und Common Vulnerability Scoring System (CVSS) ermöglichen ein gemeinsames Verständnis aller Software-Schwachstellen, der Leichtigkeit ihrer Ausnutzung und der potenziellen Auswirkungen eines erfolgreichen Angriffs. 

CWE zielt darauf ab, Unternehmen bei der Behebung von Schwachstellen zu unterstützen, indem alle identifizierten Schwachstellen und Gefährdungen kategorisiert werden. CVSS hingegen liefert eine Bewertung, warum eine bestimmte Schwachstelle mit einem detaillierten Schweregrad in Form von kritisch, hoch, mittel oder niedrig eingestuft wird. CVSS bewertet auch die Schwachstellen, indem es ihnen eine numerische Punktzahl zwischen 0,0 und 10,0 zuweist.

Erhalten Sie jetzt kostenlos einen schnellen Sicherheitsbericht für Ihre Website

Wir analysieren derzeit https://example.com
Wir scannen derzeit https://example.com
Status des Scans: In Bearbeitung
Scan target: http://example.com/laskdlaksd/12lklkasldkasada.a
Datum: 23/09/2022
Crashtest Security Suite prüft auf:
Information disclosure Known vulnerabilities SSL misconfiguration Open ports
Scanauftrag ausfüllen
Bitte geben Sie Ihre Daten ein, um die schnelle Sicherheitsüberprüfung zu erhalten.
Ein Sicherheitsspezialist analysiert gerade Ihren Scan-Bericht.
Bitte geben Sie Ihre Telefon-/Handynummer an, damit wir Ihre Identität überprüfen können:
Vielen Dank.
Wir haben Ihren Antrag erhalten.
Sobald Ihr Sicherheitsaudit fertig ist, werden wir Sie benachrichtigen.