48 3052-8500

OWASP atualiza classificação das 10 principais vulnerabilidades - OSTEC | Segurança digital de resultados

Geral 4min de Leitura - 29 de outubro de 2021

OWASP atualiza classificação das 10 principais vulnerabilidades

OWASP

This post is also available in: Português

A OWASP é uma das entidades mais respeitadas no mundo da segurança digital, e elevou o item Controle de Acesso Quebrado da quinta posição para o número um.

A fundação sem fins lucrativos Open Web Application Security Project (OWASP) lançou uma atualização de sua classificação das 10 principais vulnerabilidades, algo que não fazia desde 2017.

O novo ranking apresenta mudanças consideráveis, com destaque para o item Controle de Acesso Quebrado, que passou da quinta colocação para a primeira. A instituição disse que 94% dos aplicativos foram testados para alguma forma de controle de acesso quebrado, e os 34 CWEs mapeados para Broken Access Control tiveram mais ocorrências em aplicativos do que qualquer outra categoria.

As falhas criptográficas também subiram na lista, chegando à vice-liderança devido à sua conexão com a exposição de dados confidenciais e comprometimento de sistemas. A Injeção passou para o terceiro lugar, mas o OWASP observou que 93% dos aplicativos foram testados para alguma forma de injeção, que agora inclui script entre sites.

Novidades e alterações

Uma nova categoria – Design Inseguro – conquistou o quarto lugar na lista, seguida por Configuração Incorreta de Segurança, que subiu uma posição em comparação com a lista de 2017.

Nesse contexto, a Configuração Incorreta de Segurança agora inclui agentes externos. Os autores da lista disseram que não era surpresa, considerando que 90% dos softwares foram testados para alguma forma de configuração incorreta, e que houve mais mudanças para software altamente configurável.

Em seguida, Componentes Vulneráveis e Desatualizados – classificado em 9º lugar em 2017 – subiu para o 6º lugar na classificação deste ano.

“É a única categoria que não possui CVEs mapeados para os CWEs incluídos, portanto, uma exploração padrão e pesos de impacto de 5,0 são considerados em suas pontuações”, observaram os responsáveis pela atualização.

As Falhas de Identificação e Autenticação – anteriormente chamadas de Autenticação Quebrada – caíram bastante. Foram do segundo ao sétimo lugar, com o OWASP explicando que o aumento da disponibilidade de estruturas padronizadas colaborou nessa alteração.

Outra categoria nova é o item Falhas de Software e Integridade de Dados. Concentra-se principalmente em estimativas relacionadas a atualizações de software, dados críticos e pipelines de CI / CD sem verificar a integridade. “Trata-se de um dos maiores impactos ponderados dos dados CVE / CVSS mapeados para os 10 CWEs nesta categoria. A desserialização insegura de 2017 agora faz parte desta categoria maior”, disse a OWASP em nota.

Sobe e desce

As Falhas de Registro e Monitoramento de Segurança ocupavam a décima colocação em 2017, mas subiram uma posição e se expandiram para incluir outros tipos de falhas. Embora tragam desafios na hora de testar, podem impactar diretamente a visibilidade, o alerta de incidentes e a perícia forense.

Assim, o último da lista agora é Server-Side Request Forgery, mais conhecido pela sigla SSRF. Traduzindo, é algo como Falsificação de Solicitações do lado do servidor, e segundo a OWASP tem uma taxa de incidência relativamente baixa, mas foi muito citada por profissionais da indústria.

O OWASP disse que, no geral, havia três novas categorias e quatro outras que tiveram mudanças de nome ou escopo feitas para a lista de 2021. A entidade, que montou a lista por mais de uma década, compila a lista com base em dados de contribuição e pesquisas do setor. “Fazemos isso porque os dados fornecidos é olhar para o passado. Os pesquisadores do AppSec levam tempo para encontrar novas vulnerabilidades e novas maneiras de testá-las. Demora muito para integrar esses testes em ferramentas e processos”, disse a instituição em um comunicado.

Ben Pick, consultor sênior de segurança de aplicativos da nVisium e um dos líderes do Northern Virginia OWASP Chapter, disse que os itens listados atualmente têm como objetivo gerar consciência sobre as tendências em toda a indústria em relação às vulnerabilidades e explorações enfrentadas pelas empresas que forneceram seus dados – especialmente para aquelas que podem não ter um histórico de segurança.

Confira a lista completa e o detalhamento de cada item do ranking

1) Controle de Acesso Quebrado

São vulnerabilidades que acabam fazendo com que um usuário sem permissão acesse páginas, arquivos, dados e informações confidenciais, ocorrendo em ações fora de suas permissões.

2) Falhas Criptográficas

Eram chamadas de Exposição de Dados Sensíveis, representando situações em que uma ferramenta não possui uma solução de criptografia eficiente e segura.

3) Injeção

Mesmo que tenham caído de posição, continuam sendo falhas gravíssimas. O motivo é que permitem aos cibercriminosos o furto de informações direto do servidor, por meio de códigos maliciosos inseridos através de requisições ou em caixas de texto na aplicação.

4) Design Inseguro

Eis um dos itens novos, que trata dos riscos acerca da arquitetura do software e das falhas que surgem no momento do desenvolvimento.

5) Má Configuração de Segurança

Ganhou uma posição no ranking por ter registrado cerca de 208 mil ocorrências de vulnerabilidades. Falhas do tipo surgem de configurações de segurança ruins, aparecendo quando aplicações, ferramentas e soluções de segurança são configuradas indevidamente.

6) Componentes Desatualizados e Vulneráveis

A diferença entre este quesito e o quinto lugar é que este fica dedicado a dispositivos, ferramentas e aplicações ultrapassadas, legadas e desatualizadas. Apesar de esta categoria não ter nenhuma falha CWE associada, ocupa o sexto lugar de prioridade da lista.

7) Falhas de Identificação e Autenticação

Em 2017 estava em segundo lugar, e agora caiu para sétimo. Tal queda pode mostrar um claro avanço no desenvolvimento de tecnologias de autenticação de usuários, uma tendência de adoção de modelos de autenticação que não dependem somente das credenciais de acesso, mas que também analisam outros dados do usuário – como localização, reconhecimento facial e dispositivo.

8) Falhas de Software e Integridade de Dados

Outra novidade do Top 10. O item está relacionado ao código-fonte e à uma infraestrutura insegura. Ocorre quando um aplicativo depende de plug-ins, bibliotecas ou módulos de fontes não confiáveis, por exemplo.

9) Registro e Monitoramento de Segurança

De acordo com a OWASP, não há muitos dados de Common Weakness Enumeration (CWEs) e Common Vulnerabilities and Exposures (CVEs) para este quesito. Porém, tratam da falta de registros de uso de aplicações e registros de monitoramento de segurança.

10) Server-Side Request Forgery

Ocorre sempre que uma aplicação busca um recurso remoto, sem validar a URL fornecida pelo usuário. Segundo os técnicos da OWASP, permite que um invasor force o software a enviar uma solicitação criada para um destino inesperado, ainda que esteja protegido por firewalls, VPNs ou outro tipo de lista de controle de acesso à rede (ACL).

This post is also available in: Português

As 7 camadas da segurança digital

Postagem anterior