Affected Platforms

Not Technology-Specific Cloud Computing

Extended Description

AI Translation

When a resource is given a permission setting that provides access to a wider range of actors than required, it could lead to the exposure of sensitive information, or the modification of that resource by unintended parties. This is especially dangerous when the resource is related to program configuration, execution, or sensitive user data. For example, consider a misconfigured storage account for the cloud that can be read or written by a public or anonymous user.

Technical Details

AI Translation

Common Consequences

confidentiality access control integrity other

Impacts

read application data read files or directories gain privileges or assume identity modify application data other

Detection Methods

automated static analysis automated dynamic analysis manual analysis manual static analysis manual dynamic analysis fuzzing black box automated static analysis - binary or bytecode manual static analysis - binary or bytecode dynamic analysis with automated results interpretation dynamic analysis with manual results interpretation manual static analysis - source code automated static analysis - source code architecture or design review

Potential Mitigations

Phases:

implementation architecture and design operation installation system configuration documentation

Descriptions:

• When using a critical resource such as a configuration file, check to see if the resource has insecure permissions (such as being modifiable by any regular user) [REF-62], and generate an error or even exit the software if there is a possibility that the resource could have been modified by an unauthorized party.

• Run the code in a "jail" or similar sandbox environment that enforces strict boundaries between the process and the operating system. This may effectively restrict which files can be accessed in a particular directory or which commands can be executed by the software. OS-level examples include the Unix chroot jail, AppArmor, and SELinux. In general, managed code may provide some protection. For example, java.io.FilePermission in the Java SecurityManager allows the software to specify restrictions on file operations. This may not be a feasible solution, and it only limits the impact to the operating system; the rest of the application may still be subject to compromise. Be careful to avoid CWE-243 and other weaknesses related to jails.

• For all configuration files, executables, and libraries, make sure that they are only readable and writable by the software's administrator.

• Do not assume that a system administrator will manually change the configuration to the settings that are recommended in the software's manual.

• When storing data in the cloud (e.g., S3 buckets, Azure blobs, Google Cloud Storage, etc.), use the provider's controls to disable public access.

• Divide the software into anonymous, normal, privileged, and administrative areas. Reduce the attack surface by carefully defining distinct user groups, privileges, and/or roles. Map these against data, functionality, and the related resources. Then set the permissions accordingly. This will allow you to maintain more fine-grained control over your resources. [REF-207]

• During program startup, explicitly set the default permissions or umask to the most restrictive setting possible. Also set the appropriate permissions during program installation. This will prevent you from inheriting insecure permissions from any user who installs or runs the program.

• Do not suggest insecure configuration changes in documentation, especially if those configurations can extend to resources and other programs that are outside the scope of the application.

• Ensure that the software runs properly under the United States Government Configuration Baseline (USGCB) [REF-199] or an equivalent hardening configuration guide, which many organizations use to limit the attack surface and potential risk of deployed software.

AI Generated Translation

Common Consequences

riservatezza controllo degli accessi integrità altro

Impacts

leggere dati applicazione leggere file o directory ottenere privilegi o assumere identità modificare dati applicazione altro

Detection Methods

analisi statica automatizzata analisi dinamica automatizzata analisi manuale analisi statica manuale analisi dinamica manuale fuzzing black box analisi statica automatizzata - binario o bytecode analisi statica manuale - binario o bytecode analisi dinamica con interpretazione automatica dei risultati analisi dinamica con interpretazione manuale dei risultati analisi statica manuale - codice sorgente analisi statica automatizzata - codice sorgente revisione dell'architettura o del design

Potential Mitigations

Phases:

implementazione architettura e design operazione installazione configurazione sistema documentazione

Descriptions:

• Quando si utilizza una risorsa critica come un file di configurazione, verificare se la risorsa ha permessi insicuri (ad esempio, modificabili da qualsiasi utente normale) [REF-62], e generare un errore o addirittura uscire dal software se c'è la possibilità che la risorsa sia stata modificata da una parte non autorizzata.

• Eseguire il codice in un ambiente "jail" o in un sandbox simile che applica confini rigorosi tra il processo e il sistema operativo. Ciò può effettivamente limitare quali file possono essere accessibili in una determinata directory o quali comandi possono essere eseguiti dal software. Esempi a livello di OS includono il Unix chroot jail, AppArmor e SELinux. In generale, il codice gestito può offrire una certa protezione. Ad esempio, java.io.FilePermission nel Java SecurityManager consente al software di specificare restrizioni sulle operazioni sui file. Questa soluzione potrebbe non essere fattibile, e limita solo l'impatto sul sistema operativo; il resto dell'applicazione potrebbe comunque essere soggetto a compromissione. Fai attenzione a evitare CWE-243 e altre vulnerabilità correlate ai jail.

• Per tutti i file di configurazione, gli eseguibili e le librerie, assicurarsi che siano accessibili in sola lettura e scrittura solo dall'amministratore del software.

• Non presumere che un amministratore di sistema modifichi manualmente la configurazione secondo le impostazioni raccomandate nel manuale del software.

• Quando si memorizzano dati nel cloud (ad esempio, S3 buckets, Azure blobs, Google Cloud Storage, ecc.), utilizzare i controlli del provider per disabilitare l'accesso pubblico.

• Dividi il software in aree anonime, normali, privilegiate e amministrative. Riduci la superficie di attacco definendo accuratamente gruppi di utenti, privilegi e/o ruoli distinti. Mappa questi ultimi rispetto a dati, funzionalità e alle risorse correlate. Successivamente, configura i permessi di conseguenza. Questo ti permetterà di mantenere un controllo più granulare sulle tue risorse. [REF-207]

• Durante l'avvio del programma, impostare esplicitamente le autorizzazioni predefinite o umask alla configurazione più restrittiva possibile. Inoltre, impostare le autorizzazioni appropriate durante l'installazione del programma. Questo impedirà di ereditare autorizzazioni insicure da qualsiasi utente che installa o esegue il programma.

• Non suggerire modifiche di configurazione non sicure nella documentazione, specialmente se tali configurazioni possono estendersi a risorse e altri programmi al di fuori dell'ambito dell'applicazione.

• Assicurarsi che il software funzioni correttamente secondo l'United States Government Configuration Baseline (USGCB) [REF-199] o una guida di configurazione di rafforzamento equivalente, che molte organizzazioni utilizzano per limitare la superficie di attacco e il potenziale rischio del software distribuito.

CWE-732

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Iscriviti alla newsletter