CWE Top 25 - (2022)

Die CWE Top 25 ist eine jährlich von der MITRE Corporation veröffentlichte Liste der gefährlichsten Softwareschwachstellen. Sie wird regelmäßig aktualisiert, um aktuelle Bedrohungen und neue Angriffsmuster abzubilden. Die Ausgabe 2022 enthält sowohl neue Einträge als auch Aktualisierungen bestehender Schwachstellen und ist damit eine wichtige Orientierungshilfe für Sicherheitsexperten. In diesem Beitrag beleuchten wir die Unterschiede zwischen den CWE Top 25 2021 und den CWE Top 25 2022 und zeigen, wie diese Änderungen Ihnen helfen können, Ihre Systeme und Daten besser zu schützen.

CWE TOP 25 - 2022

1. Out-of-bounds Write: Hierbei schreibt ein Programm Daten über die vorgesehenen Grenzen eines Puffers oder Speicherbereichs hinaus. Das kann zu Abstürzen oder zur Ausführung von Schadcode führen.

2. Improper Neutralization of Input During Web Page Generation (Cross-Site Scripting): Wenn Benutzereingaben nicht ausreichend bereinigt werden, bevor sie in eine Webseite einfließen, kann ein Angreifer Schadcode einschleusen, der im Browser anderer Benutzer ausgeführt wird.

3. Improper Neutralization of Special Elements used in an SQL Command (SQL Injection): Werden Benutzereingaben ohne ausreichende Validierung in eine SQL-Abfrage eingebunden, kann ein Angreifer die Abfrage manipulieren und Schadcode auf der Datenbank ausführen.

4. Improper Input Validation: Werden Benutzereingaben vor der Verarbeitung nicht korrekt validiert, kann ein Angreifer manipulierte Eingaben einschleusen, die das Programm zum Absturz bringen oder beliebigen Code ausführen.

5. Out-of-bounds Read: Bei dieser Schwachstelle liest ein Programm Daten jenseits der vorgesehenen Grenzen eines Puffers oder Speicherbereichs. Dies kann Abstürze verursachen oder einem Angreifer Zugang zu vertraulichen Daten verschaffen.

6. Improper Neutralization of Special Elements used in an OS Command (OS Command Injection): Werden Benutzereingaben nicht korrekt bereinigt, bevor sie in einen Betriebssystembefehl einfließen, kann ein Angreifer eigene Befehle einschleusen und auf dem System ausführen.

7. Use After Free: Greift ein Programm auf bereits freigegebenen Speicher zu, kann dies zu Abstürzen oder zur Ausführung von Schadcode führen.

8. Improper Limitation of a Pathname to a Restricted Directory (Path Traversal): Schränkt ein Programm den Zugriff auf Dateien oder Verzeichnisse nicht korrekt ein, kann ein Angreifer auf Ressourcen zugreifen, die nicht für ihn bestimmt sind.

9. Cross-Site Request Forgery (CSRF): Hierbei sendet eine bösartige Website im Namen eines authentifizierten Benutzers Anfragen an eine verwundbare Anwendung. Der Angreifer kann so ohne Wissen des Benutzers Aktionen ausführen.

10. Unrestricted Upload of File with Dangerous Type: Schränkt eine Anwendung die erlaubten Dateitypen beim Upload nicht ein, kann ein Angreifer Schadcode hochladen und zur Ausführung bringen.

11. NULL Pointer Dereference: Versucht ein Programm, auf nicht zugewiesenen Speicher zuzugreifen, kann dies zu Abstürzen oder zur Ausführung von Schadcode führen.

12. Deserialization of Untrusted Data: Werden Daten aus nicht vertrauenswürdigen Quellen ohne Validierung deserialisiert, kann ein Angreifer Schadcode einschleusen, der vom Programm ausgeführt wird.

13. Integer Overflow or Wraparound: Führt ein Programm eine arithmetische Operation aus, die zu einem Integer-Überlauf führt, kann dies Abstürze oder die Ausführung von Schadcode zur Folge haben.

14. Improper Authentication: Authentifiziert ein Programm seine Benutzer nicht ordnungsgemäß, kann sich ein Angreifer ohne gültige Berechtigung Zugang zum System verschaffen.

15. Use of Hard-coded Credentials: Verwendet ein Programm fest im Quellcode hinterlegte Zugangsdaten, kann ein Angreifer diese auslesen und sich unbefugt Zugang verschaffen.

16. Missing Authorization: Fehlt eine ordnungsgemäße Autorisierungsprüfung, können Benutzer auf Funktionen und Daten zugreifen, für die sie keine Berechtigung besitzen.

17. Improper Neutralization of Special Elements used in a Command (Command Injection): Werden Benutzereingaben nicht ausreichend bereinigt, bevor sie in einen Befehl einfließen, kann ein Angreifer Schadcode einschleusen und auf dem System ausführen.

18. Missing Authentication for Critical Function: Authentifiziert ein Programm Benutzer nicht, bevor es ihnen den Zugriff auf eine kritische Funktion gewährt, kann ein Angreifer diese Funktion ohne Berechtigung ausführen.

19. Improper Restriction of Operations within the Bounds of a Memory Buffer: Werden Speicheroperationen nicht korrekt auf den vorgesehenen Pufferbereich beschränkt, kann dies zu Abstürzen oder zur Ausführung von Schadcode führen.

20. Incorrect Default Permissions: Setzt ein Programm fehlerhafte Standardberechtigungen für Dateien oder Verzeichnisse, können Angreifer auf Ressourcen zugreifen, die nicht für sie bestimmt sind.

21. Server-Side Request Forgery (SSRF): Bei dieser Schwachstelle kann ein Angreifer den Server dazu bringen, Anfragen an interne oder externe Systeme zu senden. Dadurch lassen sich vertrauliche Daten auslesen oder weiterführende Angriffe starten.

22. Concurrent Execution using Shared Resource with Improper Synchronization (Race Condition): Synchronisiert ein Programm den Zugriff auf gemeinsam genutzte Ressourcen nicht korrekt, kann ein Angreifer dieses Zeitfenster ausnutzen, um sich unbefugt Zugang zu verschaffen.

23. Uncontrolled Resource Consumption: Begrenzt ein Programm den Ressourcenverbrauch nicht angemessen, kann ein Angreifer dies für einen Denial-of-Service-Angriff ausnutzen.

24. Improper Restriction of XML External Entity Reference: Schränkt ein Programm die Verwendung externer Entities in XML-Dokumenten nicht korrekt ein, kann ein Angreifer darüber auf vertrauliche Dateien oder Verzeichnisse zugreifen.

25. Improper Control of Generation of Code (Code Injection): Werden Benutzereingaben nicht ausreichend validiert, bevor sie zur Codegenerierung verwendet werden, kann ein Angreifer Schadcode in den generierten Code einschleusen und zur Ausführung bringen.

Fazit

Die CWE Top 25 von 2022 ist eine aktualisierte Version der Ausgabe von 2021. Neu hinzugekommen sind Schwachstellen wie Uncontrolled Resource Consumption, Race Conditions und Code Injection. Darüber hinaus wurden bestehende Einträge wie Out-of-bounds Write, Cross-Site Scripting und SQL Injection neu bewertet und eingeordnet. Die CWE Top 25 bietet eine kompakte Übersicht der häufigsten und gefährlichsten Softwareschwachstellen. Wenn Sie diese Schwachstellen kennen und gezielt beheben, können Sie Ihre Systeme und Daten deutlich besser vor Angriffen schützen.