NUEVO OWASP TOP 10 2021

Tras más de 4 años de espera, OWASP ha publicado el borrador de su nueva lista de las 10 vulnerabilidades más frecuentes en aplicaciones web.

Ha habido grandes cambios con respecto a la lista de 2017, una de las listas más utilizadas en el mundo de la seguridad informática. A continuación las analizaremos una por una.

NUEVO OWASP TOP 10 2021

OWASP Top 10 (2021)

1. A01:2021- Broken Access Control (Violación del control de acceso): 34 CWEs. Las vulnerabilidades de control de acceso incluyen escalada de privilegios, creación o modificación de URLs maliciosas, bypass del control de acceso, configuración incorrecta de CORS, y manipulación de claves primarias.

2. A02:2021- Cryptographic Failures (Fallos criptográficos): 29 CWEs. Esto incluye fallos de seguridad en el cifrado de la información en tránsito y en el de la información almacenada. Por ejemplo, la implementación de un algoritmo de cifrado débil, la utilización de claves de cifrado demasiado cortas, el fallo de verificación de certificados o de implementación de cifrados, y la transmisión de datos en texto plano.

3. A03:2021- Injection (Inyección): 33 CWEs. Las inyecciones más comunes con las inyecciones SQL y NoSQL, la inyección de comandos, inyección LDAP y Cross-Site Scripting. En general todas las inyecciones causadas por falta de validación de los campos de usuario.

4. A04:2021- Insecure Design (Diseño Inseguro): 40 CWEs. Los elementos de diseño inseguro varían ampliamente, pero en general OWASP los describe como «una falta o inefectividad del control de diseño«. Este área incluye una falta de protección de la información almacenada, problemas de programación lógicos, y mostrar contenido que revela información sensible.

5. A05:2021- Security Misconfiguration (Errores en la Configuración de Seguridad): 20 CWEs. Las aplicaciones pueden ser consideradas vulnerables si hay una falta de configuración de seguridad, si hay funcionalidades innecesarias (como una configuración de privilegios demasiado laxa), si las cuentas por defecto se mantienen activas y si las funcionalidades de seguridad no se configuran correctamente.

6. A06:2021- Vulnerable and Outdated Components (Componentes vulnerables y obsoletos): 3 CWEs. Esta categoría se centra en componentes del lado del cliente y del lado del servidor, fallos de mantenimiento de componentes, sistemas de soporte obsoletos (como un sistema operativo, servidores web, librerías) así como configuración incorrecta de componentes.

7. A07:2021- Identification and Authentication Failures (Fallos de Identificación y Autenticación): 22 CWEs. Estos problemas de seguridad incluyen autenticación insegura, incorrecto control de sesiones, certificados incorrectos, permitir credenciales débiles y falta de protección ante ataques de fuerza bruta.

8. A08:2021- Software and Data Integrity Failures (Fallos de Integridad del Software y la Información): 10 CWEs. La Integridad es el punto clave de esta categoría, y cualquier fallo que no sea correctamente manejado (como la deserialización de datos inseguros, o no comprobar el código de las actualizaciones cuando provienen de una fuente externa) debe ser vigilado.

9. A09:2021- Security Logging and Monitoring Failures (Fallos de Monitorización y Logs de Seguridad): 4 CWEs. Problemas que pueden obstaculizar el análisis de una fuga de datos o de cualquier otro tipo de ataque. Entran en esta categoría los problemas con los logs, no guardar información de seguridad relevante, o guardar los logs únicamente de forma local.

10. A10:2021- Server-Side Request Forgery (Falsificación de Peticiones del Lado del Servidor): 1 CWE. Las vulnerabilidades SSRF ocurren cuando n servidor no valida las URLs que mandan los usuarios para acceder a recursos remotos. OWASP dice que la gran adopción de servicios en la nube y arquitecturas muy complejas ha aumentado exponencialmente la severidad de los ataques SSRF.

Análisis de los Principales Cambios

Broken Access Control sube a la quinta posición, el 94% de las aplicaciones tienen vulnerabilidades de control de acceso.

Cryptographic Failures sube una posición y se coloca en el segundo puesto. En 2017 esta categoría se conocía como «Sensitive Data Exposure», pero realmente esa exposición de datos sensibles es más un síntoma que la causa del problema, por eso se decidió cambiar el nombre, para centrarse en los fallos relacionados con la criptografía.

Injection baja hasta la tercera posición, aunque el 94% de las aplicaciones tienen vulnerabilidades de inyección. Es importante destacar que el Cross-Site Scripting, que en la edición pasada tenía su propia categoría, pasa a estar agrupada dentro de la categoría Inyecciones.

Insecure Design es una nueva categoría, que se ha incluido para intentar centrarse en los fallos de diseño, e intentar generar buenas prácticas mediante el uso del modelado de amenazas, patrones y principios de diseño seguros, y arquitecturas de referencia.

Security Misconfiguration se posiciona en quinto puesto, subiendo uno desde la última edición. El 90% de las aplicaciones muestran alguna vulnerabilidad de configuración incorrecta. Cada vez hay más aplicaciones complejas que requieren una correcta configuración. Cabe destacar que la categoría XML External Entities (XXE) ha pasado a formar parte de esta categoría.

Vulnerable and Outdated Components anteriormente se conocía como «Using components with known vulnerabilities« sube de posición al ser considerado el segundo problema más importante según las encuestas. Es la única categoría que no tiene ningún CVE asociado a los CWEs.

Identification and Authentication Failures conocida previamente como «Broken Authentication». Baja desde la segunda posición gracias a la creciente disponibilidad de los frameworks estandarizados que han reducido los problemas de autenticación. Ahora también incluye CWEs relacionados con fallos de identificación.

Software and Data Integrity Failures nueva categoría del 2021, centrada en actualizaciones de software, información crítica y pipelines CI/CD sin verificación de integridad. Es una categoría con uno de los mayores impactos en la seguridad de las aplicaciones. La categoría «Insecure Deserialization» pasa a formar parte de esta categoría.

Security Logging and Monitoring Failures antes conocida como «Insufficient Logging & Monitoring», sube una posición al ser el tercer problema más importante según las encuestas. Se ha extendido la categoría y ahora incluye más tipos de fallos que pueden impactar directamente en la visibilidad, en la alerta de incidentes y en el análisis forense.

Server-Side Request Forgery es considerado el principal problema de seguridad según las encuestas. Aunque tiene un ratio de incidencia relativamente bajo, así como un impacto medio, los profesionales de seguridad han dejado claro que es una vulnerabilidad muy importante aunque actualmente los datos no lo muestren.

Cómo se clasifican las vulnerabilidades

El Top 10 de OWASP se basa en su mayor parte en los datos recogidos. De hecho, son 8 de las 10 categorías las que se seleccionan a partir de los datos recogidos.
Las otras dos categorías vienen dadas por las encuestas que responden los expertos de la industria. De esa forma se puede incluir en el top las vulnerabilidades que más preocupan a los profesionales que están en la vanguardia de la seguridad informática, pero que aún no se han visto reflejadas en los datos.
 

Estructura de las categorías

Anteriormente la colección de datos que realizó OWASP se basaba en 30 CWEs que ellos seleccionaron y un campo para incluir otros descubrimientos. Sin embargo, las empresas tan solo incluían datos de esos 30 CWEs. Por eso esta vez pidieron simplemente datos de las vulnerabilidades encontradas en sus aplicaciones, sin restringirlo a determinados CWEs. Preguntaron por el número de aplicaciones analizadas anualmente desde 2017, en las que se ha encontrado al menos un CWE. De esa forma pueden comprobar cuán prevalente es cada CWE dado un grupo de aplicaciones. No se tuvo en consideración la frecuencia de los CWEs a la hora de realizar el Top 10.

En cuanto a las categorías, han intentado centrarse en analizar la raíz de los problemas de seguridad, en lugar de focalizarse en los síntomas (como podemos ver con el caso de «Cryptographic Failure», que es la causa del síntoma «Sensitive Data Exposure».

En 2017 se basaron en el ratio de incidencia, mientras que este año querían centrarse en la explotabilidad y el impacto.

Los datos no son puramente estadísticos

 

Se tienen en cuenta que en los escáneres de vulnerabilidades pueden aparecer cientos de entradas para una vulnerabilidad, mientras que en los pentestings manuales el auditor no registra cada lugar donde aparece esa vulnerabilidad. Por ejemplo, en el caso de un Cross-Site Scripting, una aplicación puede ser vulnerable en todos los campos de un formulario, lo que puede suponer cientos de vulnerabilidades registradas por un escáner de vulnerabilidades. Sin embargo un auditor analizando esa misma aplicación tan solo mostrará un par de ejemplos donde la aplicación es vulnerable, indicando que se debe validar la información de todos los campos para corregir la vulnerabilidad.

 
Parámetros de los datos
 
Los datos recogidos tienen distintos parámetros que se han tenido en cuenta a la hora de hacer el top 10:
  • CWEs asignados: número de CWEs que pertenecen a cada categoría.
  • Ratio de incidencia: porcentaje de aplicaciones vulnerables a ese CWE.
  • Cobertura de tests: porcentaje de aplicaciones analizadas por todas las aplicaciones dado un CWE.
  • Explotación ponderada:  Puntuación de la explotabilidad de los CVEs asignados a los CWEs, normalizada y ponderada en una escalada de 10 puntos.
  • Impacto ponderado: Como la explotabilidad, pero con el impacto de cada vulnerabilidad.
  • Número de ocurrencias: número de aplicaciones que tienen al menos un CWE de esa categoría.
  • CVEs totales: número total de CVEs asignados a los CWEs de una categoría.

Conclusiones sobre el nuevo OWASP Top 10

 

No cabe duda de que OWASP está apostando por adelantarse a los cambios y fortalecer la industria mediante la implantación de la seguridad desde el inicio. Así lo refleja la inclusión de las nuevas categorías «Diseño Inseguro » y «Fallos de Integridad del Software y la Información» en el top 10.

Dado que la gran mayoría de las empresas toman el OWASP Top 10 como referencia, es importante que den ese punto de vista de aplicar la seguridad en la arquitectura y el diseño de las aplicaciones, algo que a menudo se omite dada la velocidad de desarrollo que se produce en la actualidad.

Es importante destacar que esta lista aunque en principio es definitiva podría variar en función de la opinión que muestren los expertos en seguridad.

Espero que hayas encontrado esta información útil.

Lethani.

4.1/5 - (58 votos)

2 comentarios en «NUEVO OWASP TOP 10 2021»

Deja un comentario