Geheugen-gerelateerde bugs zijn nog altijd de gevaarlijkste softwarekwetsbaarheden, meent MITRE. Uit de jaarlijkse top 25 blijkt ook dat we anno 2023 steeds meer moeten uitkijken voor fouten bij verificatie- en autorisatiestappen.
De top 3 blijft bij MITRE’s CWE Top 25 Most Dangerous Software Weaknesses onveranderd. Zo is out-of-bounds write, een vorm van geheugencorruptie, nog steeds nummer 1. Een product schrijft hierbij data voorbij de bedoelde buffer, dat betekent dat er meerdere problemen kunnen ontstaan. Het meest voor de hand liggend is dat er een crash voorkomt, bijvoorbeeld omdat het stukje software meer sequenties wil schrijven dan een id array in C++ toestaat. Dit kan geëxploiteerd worden door het programma in kwestie te laten crashen of om remote execution te starten, dat in feite allerlei verschillende kwaadaardige acties mogelijk maakt.
Tweede is cross-site scripting, dat untrusted data toestaat op een webapplicatie. Zo ontstaat er een ongewenste versie van de webpagina waarbij een kwaadwillende tijdens page generation via bijvoorbeeld JavaScript of HTML een script uit kan voeren om het doelwit aan te vallen. Op nummer 3 staan SQL injections, een groot probleem voor database-gedreven sites. Onlangs bleek dat Microsoft SQL-aanvallen een enorme opmars aan het maken zijn.
Tip: ‘Microsoft SQL-aanvallen rijzen de pan uit’
Autorisering en authenticatie missen of gaan mis
Ondanks de stabiele top 3 ziet MITRE een waslijst aan kwetsbaarheden gerelateerd aan toegangsbeheer. Zo ziet men stijgingen in de top 25 bij ‘Missing Authorization’ (van plek 16 naar 11), ‘Improper Authentication’ (van 14 naar 13), ‘Improper Privilege Management’ (29 naar 22) en ‘Incorrect Authorization’ (28 naar 24).
Dit alles wijst samen met de andere dreigingen op dit vlak op een algemene tekortkoming als het gaat om toegangsbeheer. Zoveel mogelijk organisaties moeten streven naar zero-trust principes, waarbij gebruikers alleen de toegang verkrijgen die ze echt nodig hebben. Echter gaat dat vaak om de toegang tot software, niet per se de toegangsniveau binnen software. Uit de lijst van MITRE blijkt dat softwareleveranciers op dit vlak veel te winnen hebben. Zo blijkt uit de grootste stijger (Improper Privilege Management) dat het product in kwestie niet op de gewenste manier omgaat met de privileges van een gebruiker, waardoor zelfs de beste bedoelingen in het water kunnen vallen omdat de uitvoering ervan misloopt.
Lees ook: Zero trust in complexe omgevingen: hoe borg je veilige toegang tot apps?