A05:2021- Неправильная конфигурация
Содержание:
Обзор
Поднялась с 6 на 5 место; 90 % приложений были проверены на наличие той или иной формы неправильной конфигурации со средним коэффициентом встречаемости 4.5% и более 208 тыс. случаев CWE были отнесены к этой категории риска. Поскольку все большее число программ переходит на высококонфигурируемое программное обеспечение, неудивительно, что эта категория повысилась. Известные CWE: Конфигурация CWE-16 и Неправильное ограничение и CWE-611 внедрение внешних XML сущностей.
Описание
Приложение может быть уязвимым, если:
- Отсутствует надлежащее усиление безопасности в любой части стека приложений или неправильно настроены разрешения для облачных служб.
- Включены или установлены ненужные функции (например, ненужные порты, службы, страницы, учетные записи или привилегии).
- Учетные записи по умолчанию и их пароли по-прежнему включены и не изменены.
- Обработка ошибок выявляет трассировки стека или другие чрезмерно информативные сообщения об ошибках для пользователей.
- В обновленных системах последние функции безопасности отключены или настроены ненадежно.
- Параметры безопасности на серверах приложений, платформах приложений (например, стойки, пружины, ASP.NET), библиотеки, базы данных и т.д. не настроены на безопасные значения.
- Сервер не отправляет заголовки или директивы безопасности, или они не настроены на безопасные значения.
- Программное обеспечение устарело или уязвимо (см. 06:2021 - Уязвимые и устаревшие компоненты).
Системы подвергаются более высокому риску без согласованного, повторяющегося процесса настройки безопасности приложений.
Как предотвратить
Требуется реализовать безопасные процессы установки, в том числе:
- Повторяемый процесс упрочнения позволяет быстро и легко развернуть другую среду, которая соответствующим образом заблокирована. Среды разработки, контроля качества и производства нужно настроить одинаково, с различными учетными данными, используемыми в каждой среде. Этот процесс должен быть автоматизирован, чтобы свести к минимуму усилия, необходимые для создания новой безопасной среды.
- Минимальная платформа без каких-либо ненужных функций, компонентов, документации и образцов. Удалите или не устанавливайте неиспользуемые функции и платформы.
- Задача просмотреть и обновить конфигурации, соответствующие всем замечаниям по безопасности, обновлениям и исправлениям, в рамках процесса управления исправлениями (см. A06:2021 - Уязвимые и устаревшие компоненты). Просмотрите разрешения облачного хранилища (например, разрешения корзины S3).
- Сегментированная архитектура приложений обеспечивает эффективное и безопасное разделение между компонентами или клиентами с помощью сегментации, контейнеризации или облачных групп безопасности (ACL).
- Отправка директив безопасности клиентам, например, заголовков безопасности.
- Автоматизированный процесс проверки эффективности конфигураций и настроек во всех средах.
Примеры сценариев атак
Сценарий № 1: Сервер приложений поставляется с образцами приложений, не удаленными с рабочего сервера. У этих примеров приложений есть известные недостатки безопасности, которые злоумышленники используют для взлома сервера. Предположим, что одним из этих приложений является консоль администратора, и учетные записи по умолчанию не были изменены. В этом случае злоумышленник входит в систему с паролями по умолчанию и берет управление на себя.
Сценарий № 2: Список каталогов на сервере не отключен. Злоумышленник обнаруживает, что они могут просто перечислять каталоги. Он находит и загружает скомпилированные классы Java, которые они декомпилируют и перепроектируют для просмотра кода. Затем злоумышленник обнаруживает серьезную ошибку в управлении доступом в приложении.
Сценарий № 3: Конфигурация сервера приложений позволяет возвращать пользователям подробные сообщения об ошибках, например, трассировки стека. Это потенциально раскрывает конфиденциальную информацию или основные недостатки. Например, версии компонентов, которые, как известно, уязвимы.
Сценарий № 4. Поставщик облачных услуг имеет разрешения на общий доступ к Интернету по умолчанию, открытый для других пользователей заголовка политики безопасности содержимого (CSP). Это позволяет получить доступ к конфиденциальным данным, хранящимся в облачном хранилище.