Suchen

MITRE Common Weakness Enumeration (CWE) Was bringt die „CWE Top 25“ Liste?

| Autor / Redakteur: Oleg Kolesnikov / Peter Schmitz

Die aktuellen CWE Top 25 helfen den Risiko-Score einer Schwachstelle realistisch einzuschätzen. Sie haben aber noch eine weitere Qualität: Sie erklären beispielsweise wie ein aus mehreren Schwachstellen „zusammengesetzter“ Exploit funktioniert und helfen weitreichende Muster im Softwarelebenszyklus oder Bündelungen von CVEs zu erkennen.

Firmen zum Thema

Ein nicht zu unterschätzender Mehrwert der CWE Top 25 besteht darin, Schwachstellen nicht nur zu identifizieren und zu beschreiben, sondern sie in einem Praxiskontext zu erklären.
Ein nicht zu unterschätzender Mehrwert der CWE Top 25 besteht darin, Schwachstellen nicht nur zu identifizieren und zu beschreiben, sondern sie in einem Praxiskontext zu erklären.
(Bild: gemeinfrei / Pixabay )

Bereits Ende 2019 hat die gemeinnützige MITRE Corporation der US-Industrie die wohl bekannteste Rangliste von Software-Sicherheitsproblemen in der Datenverarbeitung, die „Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Errors“, aktualisiert. Mit dem Update wurde zum einen die zugrunde liegende Methodik verbessert. Zum anderen sollte die Liste für Cybersecurity-Fachleute direkt nutzbringender werden. Die Konzentration auf Klassen von Programmierfehlern ist zwar nicht neu, basiert aber jetzt auf objektiveren Kriterien. Je häufiger eine Schwachstelle vorkommt und je schwerwiegender die potentiellen Auswirkungen, desto höher die CWE-Einstufung. Der große Vorteil des neuen Ansatzes besteht darin, dass die CWE Top 25 jetzt eine Maßeinheit liefern, worauf es tatsächlich ankommt.

Angriffssequenzen

Es gibt aber noch einen weiteren interessanten Aspekt der langersehnten Neuauflage von 2019. Die neuen CWE Top 25 könnten längerfristig die Sicht der Branche auf CVEs selbst beeinflussen. Die wurden von MITRE in den 1990er Jahren eingeführt, um Softwareschwachstellen zu identifizieren, als diese zahlenmäßig mehr wurden und deutlich häufiger auftraten. Dieses System dient als eine der wesentlichen Grundlagen für das Verwalten und Patchen von Schwachstellen. Es existiert allerdings weiterhin die Tendenz, Fehler auf CVE-Ebene als voneinander getrennte Einheiten zu betrachten. Wenn man sie mit der CWE-Rangliste in Einklang bringt, die zusätzlich Kausalität und Kritikalität berücksichtigt, lassen sich weitreichende Muster aufdecken. Dadurch können Softwareunternehmen über den gesamten Entwicklungs- und Lebenszyklus hinweg, Sicherheitsentscheidungen besser priorisieren.

Ein weiterer nicht zu unterschätzender Mehrwert der CWE Top 25 besteht darin, Schwachstellen nicht nur zu identifizieren und zu beschreiben, sondern sie in einem Praxiskontext zu erklären. Ein gutes Beispiel dafür ist die Idee von „Chain und Composites“. Wie der Name schon sagt, handelt es sich bei der Chain um eine Kette in einer Abfolge von Schwachstellen, bei der die erste die Voraussetzungen für nachfolgende(n) Schwachstelle(n) schafft. Ein Composite hingegen ist eine Kombination aus zwei oder mehreren separat auftretenden Schwachstellen, aber zur gleichen Zeit. Ein bekanntes Beispiel aus jüngster Zeit sind Schwachstellen, die bei den Angriffen auf die Pulse Secure-, Fortinet- und Palo Alto-VPN-Server ausgenutzt wurden. Im Fall von Pulse Secure umfasste der Angriff allein 10 CVEs, einschließlich eines CVSS 10 (maximaler Schweregrad) und 9,9, die sich über eine Kette von Softwareschwachstellen verteilten. Offensichtlich eine Schwachstelle, der man Priorität einräumen sollte.

Das Bündeln von CVEs und Schwachstellen ist schon seit einiger Zeit eine übliche Taktik bei hochkarätigen Cyber-Angriffen. Ein prominentes Beispiel ist der berüchtigte EternalBlue MS17-010-Angriff, der drei unterschiedliche Software-Sicherheitsprobleme für die Remote-Codeausführung ausgenutzte. Aufschlussreich ist dabei, dass die Angreifer jede einzelne Komponente brauchten, damit die anderen effektiv oder überhaupt funktionieren. Das enthält für die Abwehr solcher Angriffe einige wichtige Informationen. Natürlich sollte man alle Softwareschwachstellen rechtzeitig patchen. Trotzdem sind moderne Angriffe oftmals nicht mehr zu stoppen, weil sie verschiedene Programmschwachstellen in einer bestimmten Verkettung ausnutzen.

Wie bei seinen Vorgängern kommt das in den CWE Top 25 2019 in den CanPrecede- und CanFollow-Beziehungen zum Ausdruck. Diese ermöglichen es Sicherheitsexperten Abhängigkeiten über CWE-Identifikatoren nachzuverfolgen. Das ist nicht grundsätzlich neu, das überarbeitete Design gestattet es aber, mit häufigen und schwerwiegenden Schwachstellen an der Spitze der Top 25-Liste zu beginnen und diese mit weniger häufigen und weniger schwerwiegenden in Beziehung zu setzen. Eine Verbindung, die man angesichts der reinen Platzierung auf der Liste bisher leicht übersehen konnte. Was die Beziehungen zwischen den Schwachstellen­klassen anbelangt, basiert die Rangfolge jetzt auf den Erfahrungen von Sicherheitsteams mit genau dieser Schwachstelle.

So lobenswert die Neuformulierung von 2019 auch ist, die CWE-Top 25 sollten nie das alleinige Kriterium bilden. Die Liste ist eine Ressource, kein Rezept. Je nach Zielumgebung und Art der verwendeten Softwarekomponenten kommt man nicht umhin, die Liste anzupassen. Nicht alle beschriebenen Probleme bei der Softwaresicherheit sind für alle Umgebungen gleichermaßen relevant. Dennoch eignet sich die CWE-Top 25 einen Kontext für die Priorisierung von Softwareschwachstellen wie den CVEs zu liefern.

In gewisser Weise fungiert sie als Spiegel dessen wie sich die Art von Cyberkriminalität weiterentwickelt, die sich auf gängige Softwareprobleme konzentriert. Die CWE Top 25 liefert wichtige Hinweise wie man mit diesen Problemen umgehen kann. Man sollte die Hinweise aber im Kontext dessen betrachten, was für ein bestimmtes Unternehmen oder eine bestimmte Umgebung und die verwendeten Softwarekomponenten als kritisch bewertet wird. Dann haben Sicherheitsteams gute Chancen einen Großteil des Bedrohungspotenzials zu senken.

Über den Autor: Oleg Kolesnikov ist VP Threat Research/Cybersecurity bei Securonix.

(ID:46849708)