SecureDevOps

A05:2021 – Configurare inadecvată a securității

Security Misconfiguration

Descriere
Ce reprezintă această vulnerabilitate?

Configurarea inadecvată de securitate apare atunci când sistemele, framework-urile, aplicațiile sau infrastructura nu sunt configurate corespunzător din punct de vedere al securității. Aceasta include utilizarea configurărilor implicite nesigure, configurări incomplete, stocarea în cloud deschisă, mesaje de eroare care conțin informații sensibile și lipsa patch-urilor de securitate.

Această vulnerabilitate a urcat de pe poziția 6 (în 2017) pe poziția 5 în topul OWASP 2021, fiind prezentă în aproximativ 90% din aplicațiile testate, cu o rată de incidență de peste 4%.

Configurare Greșită de Securitate - Diagram showing security misconfiguration with default credentials
Exemple de Vulnerabilități

1. Configurări implicite nesigure

Utilizarea configurărilor implicite pentru aplicații, framework-uri sau servere, care adesea sunt nesigure. De exemplu, un server de aplicații care vine cu conturi implicite și parole cunoscute, sau un server de baze de date configurat să accepte conexiuni de la orice adresă IP.

2. Servicii sau API-uri inutile activate

Servere sau aplicații care au activate servicii, porturi, pagini, conturi sau privilegii inutile. De exemplu, un server web care are activate module sau servicii care nu sunt necesare pentru funcționalitatea aplicației, dar care pot fi exploatate de atacatori.

3. Mesaje de eroare detaliate

Aplicații care afișează mesaje de eroare detaliate care pot dezvălui informații sensibile despre configurația sistemului, versiunile software utilizate sau detalii despre baza de date. Aceste informații pot fi folosite de atacatori pentru a planifica atacuri mai precise.

4. Lipsa patch-urilor de securitate

Sisteme care nu au aplicate cele mai recente patch-uri de securitate pentru sistemul de operare, framework-uri, biblioteci sau aplicații. Aceasta lasă sistemele vulnerabile la atacuri cunoscute pentru care există deja soluții.

5. Configurări de securitate inconsistente

Configurări de securitate diferite între mediile de dezvoltare, testare și producție. Aceasta poate duce la vulnerabilități în producție care nu au fost detectate în mediile de testare din cauza configurațiilor diferite.