Die Laufzeitumgebungen und Software-Stacks zur Realisierung von kommunikationsfähigen digitalen Produkten sowie Front- und Backend-Plattformen enthalten zahlreiche Sicherheitslücken, die Cyberangreifer missbräuchlich nutzen können. Einige Schwachstellen werden in der Entwicklungs- und Markteinführungsphase entdeckt und umgehend behoben. Andere fallen erst zu einem späteren Zeitpunkt auf. Viele bleiben unentdeckt. Hundertprozentig cybersichere Produkte und Lösungen, die sich über den gesamten Lebenszyklus als schwachstellenfrei erweisen, sind beim derzeitigen Stand der Technik aber nahezu unmöglich.
Mit den Schwachstellen in IT-, OT-/ICS- sowie IoT-Hardware und Software, aber auch Cloud-Plattformen, wird seit etlichen Jahren relativ offen umgegangen. Weltweit suchen Organisationen und Cybersecurity-Forscher nach Sicherheitslücken. Werden sie fündig, erfolgt häufig eine Meldung im Rahmen des CVE-Programms an autorisierte MITRE-Partner, die weitere Bewertungen und Klassifizierungen durchführen, einen eindeutigen CVE-Identifier vergeben und im Rahmen eines Responsible-Disclosure-Verfahrens für eine Veröffentlichung in einem per Internet für jeden einsehbaren Datenbanksystem sorgen (siehe Tabelle). Darüber hinaus wird in den USA spätestens seit Stuxnet intensiv daran gearbeitet, den gesamten CVE-Datenbestand plus die dazu gehörenden Ergänzungen (CVSS, CWE, CPE) vollständig zu digitalisieren und zukünftig über entsprechende Anwendungsschnittstellen (APIs) sogar automatisiert nutzen zu können. 

Was sind CVEs?

Bedingt durch komplexe Software-Stacks und Hardware-Plattformen sind in praktisch allen Anwendungskomponenten auch Cybersicherheitsschwachstellen enthalten. Die bekannten Schwachstellen werden als Common Plattform Enumeration (CVE) mit einer ID versehen und veröffentlicht. Anwender können mit diesem Wissen die eigene Applikation fortlaufend prüfen und verbessern.

© SSV

Die Abkürzung CVE steht für „Common Vulnerabilities and Exposures“. Mit „Vulnerabilities“ sind ganz allgemein bekannte Sicherheitslücken und Schwachstellen in Computersystemen gemeint. „Exposures“ bedeutet in diesem Kontext „Enthüllen“ beziehungsweise „Aufdecken“. 
Hinter der CVE-Idee steht ein umfangreiches Programm, das Ende 1999 von US-Sicherheitsorganisationen geschaffen wurde, um IT-Sicherheitslücken zu erfassen und in einem Standarddatenformat zu veröffentlichen. Damit existiert ein Referenzsystem zur kontinuierlichen Verbesserung der Cybersicherheit. Inzwischen beteiligen sich im Rahmen einer hierarchischen Organisationsstruktur zahlreiche internationale Partner am CVE-Programm. Als Root-Organisation dient die MITRE Corporation, ein Dienstleister der US-Regierung. Die Erfassung von Sicherheitslücken und Schwachstellen erfolgt weltweit durch sogenannte CNAs (CVE Numbering Authorities). Dafür existiert ein CVE-Partnerprogramm. Es beinhaltet unter anderem einen speziellen Boardingprozess, um neue Mitglieder einzubinden. 

Ein Beispiel für eine CVE wäre das NFC-basierte Kreditkartenterminal eines elektronischen Kassensystems A des Herstellers B, das einem Angreifer das Auslesen der Kundenkreditkarten- und Pin-Eingabedaten eines Bezahlvorgangs ermöglicht. Nachdem diese Sicherheitslücke entdeckt, innerhalb der CVE-Organisationsstrukturen gemeldet und geprüft wurde, bekommt sie eine Registriernummer im Format „CVE-yyyy-nnnn“. In dieser CVE-ID ist „yyyy“ die Jahreszahl der Veröffentlichung und „nnnn“ die fortlaufende Nummerierung aller Veröffentlichungen in dem betreffenden Jahr (zwischen dem Entdecken einer Sicherheitslücke und der CVE-Veröffentlichung liegen manchmal allerdings größere Zeitspannen). Zu jeder neuen Sicherheitslücke wird eine Kurzbeschreibung erstellt und durch Zusatzinformationen ergänzt. Der finale CVE-Datensatz (Record) wird von einem CNA gemäß den organisatorischen Vorgaben zusammengestellt und mit Produkt- und Herstellernamen in der frei zugänglichen CVE-Datenbank gespeichert. Danach ist eine Sicherheitslücke über die CVE-ID eindeutig referenzierbar. Der gesamte CVE-Datenbestand ist im Internet über verschiedene Webseiten abfrag- und durchsuchbar (also zum Beispiel die Kombination „Hersteller = GNU“ und „Produkt = Glibc“). Als Suchbegriffe lassen sich beispielwiese Hersteller- und Produktnamen nutzen. Zur Integration in spezielle Werkzeuge sind die CVEs auch als JSON-Objekte unter GitHub verfügbar.

CVE-basierte Schwachstellen­analyse

Jeder Entwickler, Betreiber oder Nutzer kann die bekannten Schwachstellen für eine bestimmte Hardware- oder Softwarekomponente auch ohne umfangreiches Spezialwissen per Internet ermitteln und bewerten. Dazu werden zunächst CVE-Abfragen mit Hersteller- oder Produktnamen durchgeführt, etwa per www.cvedetails.com oder über das ICS Advisory Project. Angenommen, für die Steuerungsbaugruppe einer vernetzten OT-Anwendung gilt es eine Übersicht der Security-Schwachstellen zu erstellen. Dann wird mit dem Herstellernamen X oder Produktnamen XYZ-100 im Internet nach CVEs gesucht. In diesem fiktiven Beispiel finden wir nur die CVE-2018-17900 (Unsecure Credentials). Auf der Webseite zu dieser CVE-ID wird erläutert, dass der eingebettete Webserver einer XYZ-100 die Anmeldeinformationen eines Benutzers nicht ausreichend schützt. Das versetzt einen potenziellen Angreifer in die Lage, das Produkt XYZ-100 missbräuchlich zu nutzen, zum Beispiel für Fernzugriffe. Die gefundene CVE-ID besitzt laut Internet einen CVSS-Score von 9,8 (kritisch) und gehört zur CWE-Kategorie 522 (CWE-522: Insufficiently Protected Credentials). Mit anderen Worten: Das Produkt XYZ-100 überträgt oder speichert Authentifizierungsdaten mit unsicheren Methoden, die besonders anfällig für die unbefugte Nutzung sind. Mit diesem neuen Wissen entsteht nun allerdings schon ein gewisser Handlungsbedarf, zum Beispiel für einen XYZ-100-Software-Update oder einen virtuellen Patch. 
Zur CVE-2018-17900 ist auch eine Liste der CPEs zu finden, beispielsweise in der Form „cpe:2.3:o:XZY-100 …, cpe:2.3:o:XZY-500 …, cpe:2.3:h:XZY-ABC …“. Sie verdeutlicht, dass mehrere Produkte ab einer bestimmten Softwareversion die gleiche Schwachstelle aufweisen. Einer CVE-ID lassen sich auch alphanumerische Indikatoren einer MITRE ATT&CK-Matrix zuordnen. In diesem Fall wären das: 

Der Autor: Klaus-Dieter Walter ist Mitglied der Geschäftsführung bei SSV Software Systems.

© SSV

T1190 (Exploit Public-Facing Application): Ein Angreifer könnte eine Schwachstelle im HTTP-Webserver einer mit dem Internet verbundenen Baugruppe ausnutzen, um auf das lokale Netzwerk zuzugreifen, in dem sich die betreffende Baugruppe befindet.
T1552 (Unsecured Credentials): Cyberangreifer könnten kompromittierte Systeme durchsuchen und unsicher gespeicherte Anmeldeinformationen finden. Diese dazu gehörenden Daten sind beispielsweise als Klartextdateien auf einem System gespeichert.
T1078 (Valid Accounts): Der Angreifer kann sich einen Zugriff auf existierende Nutzerkonten verschaffen, um diese für verschiedene Aufgaben missbräuchlich zu nutzen (mit Hilfe kompromittierter Authentifizierungsdaten sind innerhalb einer vernetzten Anwendung eventuell auch andere Ressourcen nutzbar). 

Die CVE-, CVSS-, CWE- und CPE-Notation ist insgesamt relativ abstrakt. Durch das Mapping einzelner CVEs auf die MITRE ATT&ACK-Methodik werden die möglichen Auswirkungen der jeweiligen CVE-ID deutlich verständlicher. 

Cybersecurity Glossar

Einige wichtige Fachbegriffe und spezielle Abkürzungen für den systematischen Umgang mit Cybersecurity-Schwachstellen und hilfreichen Informationsquellen.