Von der Bedeutung von Schwachstellen: CVSS, CVE, CVD, KEV, VEP

Dozent:

Prof. Dr. Michael Eichberg

Kontakt:

michael.eichberg@dhbw-mannheim.de

Version:
2024-05-09
Folien:

https://delors.github.io/sec-cvss-cve-vep/folien.rst.html

https://delors.github.io/sec-cvss-cve-vep/folien.rst.html.pdf

Fehler auf Folien melden:

https://github.com/Delors/delors.github.io/issues

Inhalt

Social-Engineering Angriffe

Eigenschaften von Social-Engineering Angriffe

Ein vom Angreifer bewusst eingefädeltes Bewerbungsgespräch für eine Position als Administrator könnte zum Beispiel dazu genutzt werden, um Informationen über das Zielsystem zu erhalten, die für einen Angriff nützlich sind (z. B. welche Software wird eingesetzt, wie sieht die Architektur aus, ...). In diesem Fall ist davon auszugehen, dass ein Bewerber zum Beispiel durch ein Headhunter eine gutes Angebot gemacht wird und er dann im Rahmen des Gesprächs gebeten eine Sicherheitsarchitektur darzustellen, die er einführen würde. Es ist dann davon auszugehen, dass er auf seine bisherige Erfahrung zurückgreift und diese darstellt und er somit die Architektur des Zielsystems offenlegt.

Ausgewählte Social-Engineering Angriffe bzw. Terminologie

Phishing and Spear Phishing:

Phishing nutzt elekr. Kommunikationswege (z. B. E-Mail, SMS, ...) um an Informationen zu gelangen. Spear phishing ist Phishing, bei der der Angreifer auf eine bestimmte Zielgruppe oder Person abzielt.

Smishing:

Phishing mit Hilfe von SMS.

Vishing:

Phishing mit Hilfe von Telefonanrufen. (z. B. Anrufe von Europol)

Whaling:

Phishing, dass sich gegen hochrangige und sehr ausgewählte Personen richtet (z. B. den CEO eines Unternehmens).

Typische Phishing E-Mail

images/phishing-mail-fake-fedex.png

Ausgewählte Social-Engineering Angriffe bzw. Terminologie

Pharming:

Manipulation des DNS-Servers, um den Nutzer auf eine gefälschte Webseite zu leiten, um dann sensitive Informationen zu erlangen.

Spam / Spam over Internet messaging (SPIM):

Unerwünschte und nicht angeforderte E-Mail-Nachrichten oder Nachrichten in sozialen Medien bzw. Instant Messaging-Diensten.

Ausgewählte Social-Engineering Angriffe bzw. Terminologie

Dumpster Diving:

Durchsuchen von Müllcontainern nach Informationen, die für einen Angriff nützlich sein könnten.

Shoulder Surfing:

Beobachten von Personen, die sich an einem Computer anmelden, um das Passwort zu erfahren oder die sensitive Informationen auf dem Schreibtisch liegen haben.

Tailgating:

Ein Angreifer nutzt die Zugangsberechtigung einer Person, um sich Zugang zu einem Gebäude zu verschaffen ohne das die Person dies bemerkt oder gar zustimmt. Dies kann durch Zugangsschleusen verhindert werden, die immer nur einer Person den Zugang gewähren.

Ausgewählte Social-Engineering Angriffe bzw. Terminologie

Identity Fraud:

Identitätsdiebstahl. Der Angreifer gibt sich als jemand anderes aus, um an Informationen zu gelangen oder um eine Straftat zu begehen.

Invoice Scams:

Versenden von Rechnungen, für Dienstleistungen und Produkte die man nicht gekauft hat. (z. B. Rechnungen für Postzustellung.)

Ausgewählte Social-Engineering Angriffe bzw. Terminologie

Credential harvesting:

Sammlung von Zugangsdaten, die durch Sicherheitslücken in Systemen oder durch Phishing erlangt wurden.

Hoax:

Eine bewusste Falschmeldung, die Menschen dazu veranlasst etwas falsches zu glauben.

Impersonation or Pretexting:

Vorgabe einer falschen Identität (z. B. als Mitarbeiter des IT-Supports) d. h. der Angreifer gibt sich persönlich als jemand anderes aus, um an Informationen zu gelangen und nutzt dafür keine elektronischen Hilfsmittel.

Ein Beispiel eines nicht-harmlosen Streichs (Hoax) ist die Falschmeldung vom 1. April 2003, dass Bill Gates gestorben sei. Diese Falschmeldung wurde von vielen Menschen geglaubt und hatte relevanten Einfluss auf den Aktienmarkt.

In der Anfangszeit von Github und Bitbucket wurden häufig Zugangsdaten und Zertifikate in öffentlichen Repositories gefunden, da die Nutzer diese im Quellcode hinterlegt hatten oder sogar als Ressourcen direkt eingebunden hatten.

Ausgewählte Social-Engineering Angriffe bzw. Terminologie

Eavesdropping:

Abhören von Gesprächen, um an relevante Informationen zu gelangen.

Eliciting Information:

Der Angreifer versucht durch geschicktes Fragen an Informationen zu gelangen, die für einen Angriff nützlich sein könnten.

Ausgewählte Social-Engineering Angriffe bzw. Terminologie

Baiting (Ködern):

Der Angreifer bietet etwas an, um an Informationen zu gelangen. (z. B. ein USB-Stick mit einem Virus, der sich beim Einstecken des USB-Sticks auf dem Rechner installiert.)

Watering Hole Attack:

Der Angreifer infiziert eine Webseite, die von der Zielgruppe häufig besucht wird, um dann die Besucher der Webseite anzugreifen.

Typo Squatting:

Ausnutzen von Tippfehlern durch das Registrieren einer Domain, die der Domain eines Zielunternehmens ähnelt, um dann Besucher der Webseite auf eine gefälschte Webseite zu leiten. (z. B. www.gooogle.com)

Motivationstechniken von Social-Engineers

Common Vulnerability Scoring System (CVSS)

Das Common Vulnerability Scoring System (CVSS 4.0) stellt einen Rahmen bereit für die Beschreibung und Bewertung des Schweregrads von Software-/Hardware-/Firmwareschwachstellen.

Die Bewertung der Basiskennzahlen ergibt eine Punktzahl zwischen 0,0 und 10,0. Wobei 0 bedeuted, dass die Schwachstelle (bisher) harmlos ist und 10,0 bedeutet, dass die Schwachstelle sehr gravierend ist.

CVSS umfasst vier Gruppen von Metriken

  1. Basis-Metriken (Base Metrics) erfassen die inhärenten Eigenschaften einer Schwachstelle, die sich nicht ändern, wenn sich die Umgebung ändert.

  2. Bedrohungs-Metriken (Threat Metric Group) spiegelt die Merkmale einer Schwachstelle wieder, die sich im Laufe der Zeit verändern.

  3. Umgebungs-Metriken (Environmental Metric Group) erfassen die Eigenschaften einer Schwachstelle, die sich ändern, wenn sich die Umgebung ändert.

  4. Ergänzende-Metriken (Supplemental) liefern zusätzliche Informationen, die für die Bewertung einer Schwachstelle nützlich sein können, aber den Schweregrad nicht direkt beeinflussen.

CVSS - Basis-Metriken (Base Metric Group)

Bewertung der Ausnutzbarkeit (Exploitability Metrics)

  • Angriffsvektor (Attack Vector)

  • Angriffskomplexität (Attack Complexity)

  • Angriffsanforderungen (Attack Requirements)

  • Benötigte Privilegien (Privileges Required)

  • Erforderliche Benutzerinteraktion (User Interaction)

Bewertung der Auswirkungen (Impact Metrics)

bzgl. des betroffenen Systems (Vulnerable System)

  • Vertraulichkeit (Confidentiality Impact)

  • Integrität (Integrity Impact)

  • Verfügbarkeit (Availability Impact)

bzgl. nachgelagerter Systeme (Subsequent System)

  • Vertraulichkeit (Confidentiality Impact)

  • Integrität (Integrity Impact)

  • Verfügbarkeit (Availability Impact)

CVSS - Bedrohungs-Metriken (Threat Metric Group) [1]

Gibt es bisher nur die Beschreibung der Schwachstelle oder gibt es bereits einen Proof-of-Concept (PoC) Exploit?

CVSS - Umgebungs-Metriken

Angepasste Basis-Metriken (Modified Base Metrics)

  • Angriffsvektor (Attack Vector)

    Angriffskomplexität (Attack Complexity)

    Angriffsanforderungen (Attack Requirements)

    Benötigte Privilegien (Privileges Required)

    Erforderliche Benutzerinteraktion (User Interaction)

bzgl. des betroffenen Systems und auch der nachgelagerten Systeme:

  • Vertraulichkeitsverlust (Confidentiality Impact)

    Integritätsverlust (Integrity Impact)

    Verfügbarkeitsverlust (Availability Impact)

  • Vertraulichkeitsanforderungen (Confidentiality Requirement)

  • Integritätsanforderungen (Integrity Requirement)

  • Verfügbarkeitsanforderungen (Availability Requirement)

CVSS - Bewertung der Ausnutzbarkeit/Exploitability Metrics

Attack Vector (AV):

Network, Adjacent, Local, Physical

Attack Complexity (AC):

Low, High

Attack Requirements (AT):

None, Present

Privileges Required (PR):

None, Low, High

User Interaction (UI):

None, Passive, Active

Attack Vector

Network

Schwachstellen, die häufig "aus der Ferne ausnutzbar" sind und als ein Angriff betrachtet werden können, der auf Protokollebene über einen oder mehrere Netzknoten hinweg (z. B. über einen oder mehrere Router) ausgenutzt werden kann.

Adjacent

Der Angriff ist auf eine logisch benachbarte Topologie beschränkt. Dies kann z. B. bedeuten, dass ein Angriff aus demselben gemeinsamen Nahbereich (z. B. Bluetooth, NFC oder IEEE 802.11) oder logischen Netz (z. B. lokales IP-Subnetz) gestartet werden muss.

Local

Der Angreifer nutzt die Schwachstelle aus, indem er lokal auf das Zielsystem zugreift (z. B. Tastatur, Konsole) oder über eine Terminalemulation (z. B. SSH); oder der Angreifer verlässt sich auf die Interaktion des Benutzers, um die zum Ausnutzen der Schwachstelle erforderlichen Aktionen durchzuführen (z. B. mithilfe von Social-Engineering-Techniken, um einen legitimen Benutzer zum Öffnen eines bösartigen Dokuments zu verleiten).

Physical

Der Angreifer muss physisch Zugriff auf das Zielsystem haben, um die Schwachstelle auszunutzen.

Attack Complexity

Wie aufwendig ist es explizite Schutzmaßnahmen ((K)ASLR, Stack Canaries, ...) zu umgehen. Wie wahrscheinlich ist es, dass ein Angriff erfolgreich ist. Im Falle von Race Conditions können ggf. sehr viele Ausführungen notwendig sein bevor die Race Condition erfüllt ist.

Attack Requirements

Welcher Vorbedingungen (unabhängig von den expliziten Sicherungsmaßnahmen) müssen erfüllt sein, damit die Schwachstelle ausgenutzt werden kann. (z. B. der Nutzer muss sich an seinem Smartphone mindestens einmal seit dem Boot angemeldet haben (After-First-Use vs. Before-First-Use.))

Privileges Required

Welche Privilegien muss der Angreifer mindestens haben, um die Schwachstelle auszunutzen (Sind Adminstratorrechte erforderlich oder reichen normale Benutzerrechte).

User Interaction

Passiv bedeuted hier, dass der Nutzer unfreiwillig die Schwachstelle ausnutzt ohne bewusst Schutzmechanismen zu unterlaufen. Aktiv bedeuted, dass der Nutzer aktiv Interaktionen unternimmt, um die Schutzmechanismen des Systems auszuhebeln (z. B. durch das Installieren einer nicht-signierten Anwendung aus dem Internet).

CVSS - Bewertung der Auswirkung auf das betroffene System/Vulnerable System Impact Metrics

Confidentiality Impact (C):

None, Low, High

Integrity Impact (I):

None, Low, High

Availability Impact (A):

None, Low, High

CVSS - Bewertung der Auswirkung auf das nachgelagerte System/Vulnerable System Impact Metrics

Confidentiality Impact (C):

None, Low, High

Integrity Impact (I):

None, Low, High

Availability Impact (A):

None, Low, High

Übung: Schwachstellen und Ihre Bewertung (1)

Ihnen liegt eine externe Festplatte vor, die Hardwareverschlüsselung unterstützt. d. h. wenn diese Festplatte an einen Computer angeschlossen wird, dann muss ein Passwort eingegeben werden, bevor auf die Daten zugegriffen werden kann. Dieses entsperren der Festplatte geschieht mit Hilfe eines speziellen Programms, dass ggf. vorher installiert werden muss. Die Festplatte ist mit AES-256-XTX verschlüsselt.

Das Clientprogramm hasht erst das Passwort bevor es den Hash an den Controller der Festplatte überträgt. Die Firmware des Controller validiert das Passwort in dem es den gesendeten Hash direkt mit dem bei der Einrichtung übermittelten Hash vergleicht; d. h. es finden keine weiteren sicherheitsrelevanten Operationen außer dem direkten Vergleich statt. Zum Entsperren der Festplatte ist es demzufolge ausreichend den Hash aus der Hardware auszulesen und diesen an den Controller zu senden, um diese zu entsperren. Danach kann auf die Daten frei zugegriffen werden.

  1. Ermitteln Sie den CVSS 4.0 Score für diese Schwachstelle. (CVSS Rechner)

  2. Welche Anwendungsfälle sind für diese Schwachstelle denkbar?

MTAwMDAw:aalNn9FZZQqikeUgBXeJHQGJUUYo9vJYV+KEzy22j8w=:jWwft1RorlsI5R2f:+Pex2HQalY1SzEEAHlXhhmO2oXYLl/09qZI+N8j/eroT+kWxwqLETJWmop9ttGXr3ABsugt1ZYaNd/uw1+fgTqjmP6ONNpny/EH97mmJAxnGXvxO5OBxAJJNgFsDlCQfN9RKccuFG4npg6FIeDYrAe/5cNkVhpFqkNFqcFzSaDS/o428AZ6WHQjWPbEZRAr89e1fghILKVTWCUb7OezEaW1j50e982NeFpkSY6GXkCxw45rf7DP1fo2rX7txDTOyiOIClmQQJscnfV9W9XLBm4RWdyyaBFXsrw+yD9WfAdn0rjExRg5ohlGkP3Q7qTVqPI+//OVVcVMilqkhbEtf+oeYVkapx28OdCWzHTjiR1jrsXw7

Übung: Schwachstellen und Ihre Bewertung (2)

Durch die Analyse der Firmware eines Basebands haben Sie folgende Erkenntnisse erhalten: Wenn es Ihnen gelingt ein speziell manipuliertes Paket - welches außerhalb der Spezifikation liegt - an das Baseband zu senden, dann kommt es zu einem Buffer-Overflow. Mit Hilfe dieses Buffer-Overflows ist es dann möglich das Baseband zum Absturz zu bringen, welches daraufhin direkt selbständig neu startet. Aufgrund des Neustarts muss der Nutzer dann jedoch seine SIM-Pin neu eingeben, um sich wieder gegenüber dem Mobilfunknetz zu authentifizieren.

Intensive weitere Untersuchungen haben ergeben, dass es nicht möglich ist den Buffer-Overflow weitergehend auszunutzen, um zum Beispiel Daten des Smartphones abzugreifen, da die Validierung der Kommunikation mit dem Hauptprozessor effektiv ist. In einem Labortest wurden die Erkenntnisse validiert. Es war möglich ein entsprechendes Paket erfolgreich an ein Baseband zu senden und dadurch ein Neustart des Basebands zu erzwingen.

  1. Ermitteln Sie den CVSS 4.0 Score für diese Schwachstelle. (CVSS Rechner)

  2. Welche Anwendungsfälle sind für diese Schwachstelle denkbar?

MTAwMDAw:YwZuxfOLGWgBWsPop4Iu0pSNaedmeI6nelakkUwe32s=:m1Tq8a9Be8jQsWN6:lSS4z7nbXRcToYnPMUO4Z2ctNGc8nqRoeVtvUsmX7PNPa7i1poWBuCi6ajzaBWriVfS2tWuI37tpSqlfRdjAsOIocHwijnfREf41Kyoyk18Z3L0zBdLtd+NUZ6DPdayyw/wyxbXa1jbCSChppXQrYCAXq2Mx+qMinJFjRD1fql/Xmw0mQT/Rq+XoOf3NMp14eHQGaV1lT6D/ydz1OQpd6Yg5uSWz3R6pfI00uDRAky+WxTZgwk4f3dKbfk+PcP6jWivk77Z0zXSkHoe5pIL0kdUE/n/Lw1I/CunQki/2PRPYZwtt791eC7OELQQpGRDNzWVhXUx5ibReTpI+aLoj6VQrHuuz38dedWZXdESDTNSprH9JivmlVQqCIP1IjwUjNu32efhlsXpT/T01tz/PlynR3dA+udM5TfA7A+Kq9bCqwHQFIkkXz7BLg3rZyZdxCiuEBvG+kDeJjbIr8eys5ekS5pgqTb38HxDNfKg77A==

Baseband

Der Baseband Chip Ihres Smartphones ist für die Kommunikation mit dem Mobilfunknetz zuständig. Als solcher hat das Baseband eine eigene Firmware, die von dem Hersteller des Basebands stammt. Die Kommunikation zwischen dem Baseband und dem Hauptprozessor erfolgt über eine wohl definierte, minimal gehaltene Schnittstelle, um die Auswirkungen von Sicherheitsproblemen ggf. eindämmen zu können.

Common Vulnerabilities and Exposures (CVE)

Definition von Schwachstellen nach CVE

"Eine Schwachstelle in der Berechnungslogik (z. B. Code), die in Software- und Hardwarekomponenten gefunden wird und die, wenn sie ausgenutzt wird, zu einer negativen Auswirkung auf die Vertraulichkeit, Integrität oder Verfügbarkeit führt. Die Behebung der Schwachstellen in diesem Zusammenhang umfasst in der Regel Änderungen am Code, kann aber auch Änderungen an der Spezifikation oder sogar die Ablehnung der Spezifikation (z. B. die vollständige Entfernung der betroffenen Protokolle oder Funktionen) beinhalten."

https://nvd.nist.gov/vuln (Übersetzt mit DeepL)

In der Praxis werden n-Day und 0-Day Schwachstellen unterschieden.

Zweck von CVEs

1. Jan. 2024 - zuletzt bewertete CVEs

Beschreibung eines CVEs

Jeder CVE ist mit Hilfe eines wohldefinierten JSON-Dokuments beschrieben. Gekürztes Beispiel

{ "dataVersion": "5.0",
  "cveMetadata": {
      "cveId": "CVE-2023-51034",
      "assignerOrgId": "8254265b-2729-46b6-b9e3-3dfca2d5bfca",
      "assignerShortName": "mitre",
      "datePublished": "2023-12-22T00:00:00"
  },
  "containers": { "cna": { ...,
        "descriptions": [ {
           "value": "TOTOlink [...] vulnerable to command execution [...]"
        } ], ...,
        "references": [{
           "url": "815yang.github.io/[...]totolink_UploadFirmwareFile/"
          } ], ...
} } }

National Vulnerability Database (NVD)

Common Weakness Enumeration (CWE)

CWE - Schwachstellenkatalog TOP 8 in 2023

Rank

ID

Name

Rank Change vs. 2022

1

CWE-787

Out-of-bounds Write

0

2

CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

0

3

CWE-89

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

0

4

CWE-416

Use After Free

+3

5

CWE-78

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

+1

6

CWE-20

Improper Input Validation

-2

7

CWE-125

Out-of-bounds Read

-2

8

CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

0

CWE - Schwachstellenkatalog TOP 9-16 in 2023

Rank

ID

Name

Rank Change vs. 2022

9

CWE-352

Cross-Site Request Forgery (CSRF)

0

10

CWE-434

Unrestricted Upload of File with Dangerous Type

0

11

CWE-862

Missing Authorization

+5

12

CWE-476

NULL Pointer Dereference

-1

13

CWE-287

Improper Authentication

+1

14

CWE-190

Integer Overflow or Wraparound

-1

15

CWE-502

Deserialization of Untrusted Data

-3

16

CWE-77

Improper Neutralization of Special Elements used in a Command ('Command Injection')

+1

Request Forgery = Anfragefälschung

CWE - Schwachstellenkatalog TOP 17-25 in 2023

Rank

ID

Name

Rank Change vs. 2022

17

CWE-119

Improper Restriction of Operations within the Bounds of a Memory Buffer

+2

18

CWE-798

Use of Hard-coded Credentials

-3

19

CWE-918

Server-Side Request Forgery (SSRF)

+2

20

CWE-306

Missing Authentication for Critical Function

-2

21

CWE-362

Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')

+1

22

CWE-269

Improper Privilege Management

+7

23

CWE-94

Improper Control of Generation of Code ('Code Injection')

+2

24

CWE-863

Incorrect Authorization

+4

25

CWE-276

Incorrect Default Permissions

-5

Beispiel eines CVEs für eine XSS Schwachstelle [2]

CVE-2023-50712

Iris is a web collaborative platform aiming to help incident responders sharing technical details during investigations. A stored Cross-Site Scripting (XSS) vulnerability has been identified in iris-web, affecting multiple locations in versions prior to v2.3.7. The vulnerability may allow an attacker to inject malicious scripts into the application, which could then be executed when a user visits the affected locations. This could lead to unauthorized access, data theft, or other related malicious activities. An attacker needs to be authenticated on the application to exploit this vulnerability. The issue is fixed in version v2.3.7 of iris-web. No known workarounds are available.

—Published: December 22, 2023

Bewertung: CVSS V3.1: 5.4 MEDIUM

Beispiel eines CVEs für eine Arbitrary Code Execution Schwachstelle

CVE-2023-51034

TOTOlink EX1200L V9.3.5u.6146_B20201023 is vulnerable to arbitrary command execution via the cstecgi.cgi UploadFirmwareFile interface.

—Published: December 22, 2023; Last modified: January 2, 2024

Bewertung:

CVSS V3.1: 9.8 Critical

PoC Exploit:

https://815yang.github.io/2023/12/12/ex1200l/totolink_ex1200L_UploadFirmwareFile/

Weakness Enumeration:

CWE-434 Unrestricted Upload of File with Dangerous Type

Bei TOTOlink EX1200L handelt es sich um einen Wifi Range Expander.

CWE-434 Unrestricted Upload of File with Dangerous Type

Beschreibung:

Das Produkt ermöglicht es dem Angreifer, Dateien gefährlicher Typen hochzuladen oder zu übertragen, die in der Produktumgebung automatisch verarbeitet werden können.

Arten der Einführung:

Diese Schwäche wird durch das Fehlen einer Sicherheitstaktik während der Architektur- und Entwurfsphase verursacht.

Scope: Integrität, Vertraulichkeit, Verfügbarkeit

Willkürliche Codeausführung ist möglich, wenn eine hochgeladene Datei vom Empfänger als Code interpretiert und ausgeführt wird. [...]

https://cwe.mitre.org/data/definitions/434.html (Übersetzt mit DeepL)

CVE-2023-51034 - PoC (gekürzt)

Initiale Anfrage:

POST /cgi-bin/cstecgi.cgi HTTP/1.1
[...]
{
    "FileName":";ls../>/www/yf.txt;",
    "topicurl":"UploadFirmwareFile"

}

Abfrage der Datei (hier: yf.txt):

GET /yf.txt HTTP/1.1
[...]
Connection: close

Das Ergebnis ist die Auflistung der Dateien im Verzeichnis.

CVE-2023-51034 - zugrundeliegende Schwachstelle

Var = (const char *)websGetVar(a1, "FileName", &byte_42FE28);
v3 = (const char *)websGetVar(a1, "FullName", &byte_42FE28);
v4 = (const char *)websGetVar(a1, "ContentLength", &word_42DD4C);
v5 = websGetVar(a1, "flags", &word_42DD4C);
v6 = atoi(v5);
Object = cJSON_CreateObject();
v8 = fopen("/dev/console", "a");
v9 = v8;
if ( v8 )
{
    fprintf(v8, "[%s:%d] FileName=%s,FullName=%s,ContentLength=%s\n",
                "UploadFirmwareFile", 751, Var, v3, v4);
    fclose(v9);
}
v10 = strtol(v4, 0, 10) + 1;
strcpy(v52, "/tmp/myImage.img");
doSystem("mv %s %s", Var, v52);

Die Lücke ist auf die folgenden Zeilen zurückzuführen:

Var = (const char *)websGetVar(a1, FileName, &byte_42FE28);
doSystem(mv %s %s, Var, v52);

Der Aufruf von doSystem ermöglicht die Ausführung von beliebigem Code. Der Angreifer kann den Wert von Var so manipulieren, dass er quasi beliebigen Code ausführen kann.

Ausgenutzte Schwachstellen

Der Known Exploited Vulnerabilities (KEV) Katalog der CISA umfasst Produkte deren Schwachstellen ausgenutzt wurden oder aktiv ausgenutzt werden.

Erzwungene Außerbetriebnahme von Produkten

images/cisa-forced-take-down.png

2023 CWE Top 10 KEV Weaknesses

Schwachstelle

CWE ID

# CVE Mappings in KEV

Avg. CVSS

Use After Free

416

44

8.54

Heap-based Buffer Overflow

122

32

8.79

Out-of-bounds Write

787

34

8.19

Improper Input Validation

20

33

8.27

Improper Neutralization of Special Elements used in an OS Command ("OS Command Injection")

78

25

9.36

Deserialization of Untrusted Data

502

16

9.06

Server-Side Request Forgery (SSRF)

918

16

8.72

Access of Resource Using Incompatible Type ("Type Confusion")

843

16

8.61

Improper Limitation of a Pathname to a Restricted Directory ("Path Traversal")

22

14

8.09

Missing Authentication for Critical Function

306

8

8.86

Offenlegung von Sicherheitslücken nach CISA [3]

Coordinated Vulnerability Disclosure (CVD)

  1. Sammlung von Schwachstellenmeldungen

    • Eigene Schwachstellenanalysen

    • Überwachung öffentlicher Quellen

    • Direkte Meldungen von Herstellern, Forschern und Nutzern

  2. Analyse der Schwachstellenmeldungen zusammen mit den Herstellern, um die Sicherheitsauswirkungen zu verstehen

  3. Entwicklung von Strategien zur Eindämmung der Schwachstellen; insbesondere Entwicklung von notwendigen Patches

  4. Anwendung der Strategien zur Eindämmung der Schwachstellen in Zusammenarbeit mit dem Hersteller und ggf. betroffenen Nutzern

  5. Veröffentlichung der Schwachstellenmeldung in Abstimmung mit der Quelle des Schwachstellenberichts und dem Hersteller

CISA (America's Cybersecurity and Infrastructure Security Agency/Cyber Defense Agency).

Zeitlicher Rahmen für die Offenlegung von Sicherheitslücken

Der Zeitrahmen für die Offenlegung von Sicherheitslücken wird durch folgende Faktoren bestimmt:

Welche neuen Schwachstellen werden in absehbarer Zeit ausgenutzt?

Nutzung des CVSS als Grundlage für die Schätzung?

Annahme: Schwachstellen mit einem CVSS Score \(\geq\) 7 (d. h. mit einer Bewertung von Hoch oder kritisch) werden ausgenutzt.

Zusammenfassung:

d. h. die Strategie "Priorisierung von Schwachstellen mit einem CVSS Score \(\geq\) 7" ist keine geeignete Strategie, da sie nicht alle relevanten Schwachstellen erfasst (686 False Negatives) und - ganz insbesondere - zu viele Schwachstellen (76.858 False Positives) erfasst, die nicht ausgenutzt werden.

Exploit Prediction Scoring System (EPSS)

Nutzung des EPSS für die Schätzung? [5]

Annahme: Schwachstellen mit EPSS 10% und größer sind werden ausgenutzt werden.

Zusammenfassung:

d. h. die Strategie "Priorisierung von Schwachstellen mit einem EPSS von 10% und höher" ist eine geeignetere Strategie, da noch immer sehr viele relevante Schwachstellen erfasst werden und - ganz insbesondere - die Anzahl der zu beachtenden Schwachstellen ganz massiv reduziert wird ohne die Gesamtqualität zu stark zu beeinflussen.

Schwachstellenmanagement

Vulnerabilities Equities Process (VEP) (USA) [6]

[...] Der Vulnerability-Equity-Process (VEP) wägt ab, ob Informationen über Schwachstellen an den Hersteller/Lieferanten weitergegeben werden sollen, in der Erwartung, dass sie gepatcht werden, oder ob die Kenntnis der Schwachstelle vorübergehend auf die US-Regierung und möglicherweise andere Partner beschränkt werden soll, damit sie für Zwecke der nationalen Sicherheit und der Strafverfolgung, wie z. B. nachrichtendienstliche Erfassung, militärische Operationen und/oder Spionageabwehr, genutzt werden können. [...]

—Übersetzt von www.DeepL.com/Translator

Insbesondere durch die föderale Struktur in Deutschland kann es ggf. dazu kommen, dass bezüglich der Handhabung von Schwachstellen unterschiedliche rechtliche Regelungen gelten werden - je nachdem ob die Behörde eine Bundes- oder Landesbehörde ist.

Vulnerabilities Equities Process (VEP) (USA)

[...] Die Entscheidung der US-Regierung, ob eine Schwachstelle veröffentlicht oder eingeschränkt werden soll, ist nur ein Element des Prozesses zur Bewertung der Schwachstellen und ist nicht immer eine binäre Entscheidung. Andere Optionen, die in Betracht gezogen werden können, sind die Verbreitung von Informationen zur Schadensbegrenzung an bestimmte Stellen, ohne die jeweilige Schwachstelle offenzulegen, die Einschränkung der Nutzung der Schwachstelle durch die US-Regierung in irgendeiner Weise, die Information von Regierungsstellen der USA und verbündeter Staaten über die Schwachstelle [...]. -- Übersetzt von DeepL

Vulnerabilities Equities Process (VEP) (USA)

[...] Alle diese Entscheidungen müssen auf der Grundlage des Verständnisses der Risiken einer Verbreitung, des potenziellen Nutzens von Schwachstellen durch die Regierung sowie der Risiken und Vorteile aller dazwischen liegenden Optionen getroffen werden. [...]

—Übersetzt von DeepL

Schwachstellenmanagement in Deutschland (2021-2025)

[...] Die Ausnutzung von Schwachstellen von IT-Systemen steht in einem hochproblematischen Spannungsverhältnis zur IT-Sicherheit und den Bürgerrechten. Der Staat wird daher keine Sicherheitslücken ankaufen oder offenhalten, sondern sich in einem Schwachstellenmanage- ment unter Federführung eines unabhängigeren Bundesamtes für Sicherheit in der Informa- tionstechnik immer um die schnellstmögliche Schließung bemühen.[...]

—KOALITIONSVERTRAG 2021—2025 (SPD, BÜNDNIS 90/DIE GRÜNEN, FDP)

CVEs - Übung

  1. Finden Sie Schwachstellen, die macOS Sonoma betreffen.

  2. Finden Sie heraus um was es bei CVE-2020-20095 geht.

MTAwMDAw:3kcUzuTBtIG9qrFjXhRkZ6BfaRsb3PoN6Cda9jlgAos=:dnakTB1mownorkOr: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