Richiedi un demo
Richiedi un demo
Analisi statica per il rilevamento delle vulnerabilità della sicurezza delle transazioni CICS

Analisi statica per il rilevamento delle vulnerabilità della sicurezza delle transazioni CICS

IN-COM 19 Giugno 2025 , , ,

I sistemi CICS supportano alcuni degli ambienti di elaborazione delle transazioni più sensibili e ad alto volume al mondo. Dal settore bancario e assicurativo alla logistica e alla difesa, queste piattaforme gestiscono carichi di lavoro che non possono permettersi controlli di sicurezza. Sebbene l'uptime operativo sia spesso la priorità, la struttura delle applicazioni CICS introduce rischi nascosti che possono facilmente sfuggire durante le revisioni di routine.

Molti di questi rischi hanno origine nel codice legacy. Moduli COBOL annidati, associazioni di programmi transazionali, chiamate di programmi dinamici e aree di comando riutilizzate possono creare vulnerabilità che non sono visibili dalla superficie. Esempi comuni includono l'accesso non convalidato al terminale, l'uso improprio di istruzioni XCTL o LINK e autorizzazioni elevate concesse tramite un routing di transazione errato. Questi difetti possono persistere in produzione per anni senza generare avvisi.

Analisi statica Offre un modo strutturato per identificare questi problemi prima che vengano sfruttati. Tuttavia, a differenza delle applicazioni web o API, la scansione dei carichi di lavoro CICS richiede un'analisi molto più approfondita. Gli analisti devono tracciare il flusso di controllo su più livelli di programma, comprendere come i dati si muovono attraverso la memoria condivisa e individuare modelli specifici del comportamento delle transazioni mainframe.

Questo articolo si concentra su come applicare l'analisi statica negli ambienti CICS per individuare e mitigare le falle di sicurezza. Delinea le strutture ad alto rischio da ricercare, mostra come interpretare la logica delle transazioni nel codice COBOL e fornisce indicazioni per gli ingegneri che devono analizzare sistemi legacy di grandi dimensioni con accuratezza e profondità. L'obiettivo è aiutare i team a proteggere i propri livelli di transazione senza incertezze o interruzioni.

Sommario

Comprensione delle superfici di attacco alle transazioni CICS

Le transazioni CICS non sono solo unità di lavoro programmatiche. Sono profondamente integrate nel controllo degli accessi, nell'identità degli utenti, nell'autorizzazione delle risorse e nell'integrità delle sessioni. Molti sistemi mainframe si basano su design pattern vecchi di decenni, in cui l'applicazione della sicurezza è implicita piuttosto che esplicita. Ciò introduce rischi che vengono spesso trascurati durante i test o persino gli audit di conformità.

L'analisi statica a questo livello inizia con la mappatura di dove viene passato il controllo, di come viene gestito l'input e di quali percorsi sono raggiungibili in specifici contesti di esecuzione. Anche i sistemi che hanno superato i test di penetrazione possono comunque presentare vulnerabilità legate a flussi di transazioni mal indirizzati o eccessivamente privilegiati.

Vulnerabilità nascoste nelle chiamate EXEC CICS

Una debolezza comune riguarda l'uso dinamico di EXEC CICS LINK, XCTL, o RETURN senza verificare l'origine o il contesto della chiamata. Quando i programmi sono concatenati in modo lasco e i nomi dei programmi vengono forniti esternamente o creati dinamicamente, un input dannoso può indirizzare l'esecuzione verso moduli con privilegi elevati.

In pratica, questo potrebbe apparire così:

EXEC CICS LINK PROGRAM(PROG-NAME) COMMAREA(COMM-AREA) LENGTH(COMM-LEN) END-EXEC

If PROG-NAME viene creato a partire da un valore fornito dall'utente o mappato da una tabella senza una rigorosa convalida, gli utenti non autorizzati potrebbero richiamare programmi sensibili che non erano destinati a essere esposti.

L'analisi statica deve rilevare tali percorsi, soprattutto quando:

  • I nomi dei programmi sono costruiti da valori concatenati o mascherati
  • Non è implementato alcun controllo di fallback per gli obiettivi consentiti o previsti
  • I programmi di ricezione operano senza ulteriore verifica dell'autorità

Modelli di escalation del controllo SVC e storage

Alcune chiamate basate su SVC o routine di servizio interne accessibili tramite istruzioni a livello macro possono consentire l'escalation tramite manipolazione della memoria. L'uso improprio di ADDRESS, ASSIGNoppure l'accesso diretto ai blocchi dati del terminale può aggirare le misure di sicurezza quando il contesto di sicurezza a livello di attività non viene applicato correttamente.

Un tipico schema di segnalazione di una bandiera rossa include:

  • Assegnazione di un ID terminale o di un numero di attività da input non elaborato
  • utilizzando EXEC CICS ADDRESS TCTUA o chiamate equivalenti seguite da scritture dirette
  • Controllo di commutazione in base allo stato della sessione senza verifica del ruolo

Gli aggressori che hanno familiarità con le strutture dei terminali e con le componenti interne di CICS possono sfruttare questi punti di accesso per elevare i privilegi o iniettare comandi indesiderati.

Per identificare queste vulnerabilità è necessario non solo eseguire la scansione dei comandi CICS, ma anche risolvere la discendenza dei dati tra le assegnazioni di memoria, verificare l'origine dei parametri di controllo e segnalare l'utilizzo di valori di contesto non sicuri o non autenticati.

Ambito di analisi statica in un ambiente CICS

L'analisi statica negli ambienti CICS deve andare oltre la sintassi di base o il rilevamento di parole chiave. Gli analisti devono comprendere non solo la struttura del codice, ma anche il modello di transazione, i collegamenti dei programmi, i flussi di dati e i limiti dei privilegi. Una valutazione completa dovrebbe riflettere il modo in cui utenti, terminali e applicazioni interagiscono attraverso la memoria condivisa e la logica di esecuzione concatenata.

Questo livello di ispezione è complesso, soprattutto quando si lavora con applicazioni scritte decenni fa e gestite da più team nel tempo. I programmi spesso si basano su flussi di controllo non strutturati, sull'utilizzo dinamico di comarea e su ID di programma riutilizzati, tutti fattori che oscurano il punto di inizio e fine dell'autorità.

Analisi del flusso sorgente COBOL-CICS per i confini di attendibilità

Negli ambienti applicativi moderni, i limiti di attendibilità sono in genere definiti da livelli, ad esempio tra un'interfaccia utente front-end e un'API. In CICS, i limiti di attendibilità sono spesso impliciti e nascosti all'interno dei collegamenti tra i programmi. L'analisi statica deve tracciare quali programmi passano il controllo ad altri, dove l'input entra nel sistema e se l'origine di tale input è attendibile.

Ad esempio, una catena che inizia con una transazione di login può passare il controllo attraverso cinque o più programmi. Se uno di questi programmi accetta un nuovo input utente (ad esempio, tramite un segmento commarea aggiornato) senza riconvalidarlo, il confine di trust viene violato. L'analisi statica dovrebbe segnalare questi punti di transizione per la revisione.

Gli aspetti critici da esaminare includono:

  • Punti di ingresso in cui i dati esterni entrano nel percorso di esecuzione
  • Chiamate a LINK o XCTL che si verificano senza verificare il chiamante
  • Aree in cui l'esecuzione passa dal flusso autenticato a quello non autenticato

Rilevamento delle credenziali hardcoded e della logica di escalation dell'autorità

Token di sicurezza hardcoded, ID utente o APPLID vengono talvolta introdotti durante lo sviluppo rapido o l'applicazione di patch di emergenza. Questi valori possono ignorare i controlli di accesso standard o consentire l'accesso di fallback in caso di errore di autenticazione.

Ad esempio, un segmento COBOL come:

IF USER-ID = 'SECADMIN' THEN
   MOVE 'Y' TO AUTH-FLAG
END-IF

potrebbe non sembrare pericoloso in superficie, ma se USER-ID può essere influenzato esternamente o riutilizzato in altri programmi, ciò crea un rischio persistente.

I motori di analisi statica dovrebbero cercare:

  • Valori sensibili alla sicurezza nelle istruzioni o nelle assegnazioni IF
  • Flag di autorità impostati direttamente, senza verifica
  • Utilizzo di APPLID generici o nomi utente che aggirano la logica di controllo

Questi modelli sono sottili, ma la loro presenza spesso segnala problemi di progettazione più ampi, in cui la logica di sicurezza si intreccia con le regole aziendali. Isolarli tramite analisi statica aiuta i team a rifattorizzare il codice in modo sicuro e senza percorsi di privilegi nascosti.

Ambito di analisi statica in un ambiente CICS

I sistemi CICS differiscono significativamente dagli stack applicativi tradizionali. Mentre i servizi moderni espongono API e flussi basati su eventi, le applicazioni CICS spesso vengono eseguite come catene di programmi strettamente accoppiate che si basano su dati trasmessi tramite comarea, input da terminale e memoria condivisa. Questa architettura rende l'analisi statica particolarmente complessa. Gli analisti non si limitano a cercare chiamate vulnerabili note, ma devono ricostruire il flusso di esecuzione su più programmi, alcuni dei quali possono estendersi su decenni di sviluppo legacy.

Una revisione statica significativa deve tenere conto di come i dati entrano nel sistema, di come il controllo viene passato da un modulo all'altro e di dove la convalida è prevista ma assente. Le violazioni della sicurezza in CICS non derivano sempre da chiamate palesemente pericolose. Più spesso, emergono da presupposti trascurati sulla fiducia, controlli di contesto mancanti o mancate corrispondenze di autorizzazione che si verificano in flussi di esecuzione nidificati o differiti.

Analisi del flusso sorgente COBOL-CICS per i confini di attendibilità

Una tipica transazione COBOL-CICS non consiste in un singolo blocco monolitico. Spesso si estende su più programmi collegati da EXEC CICS LINK, XCTL, o RETURN, utilizzando blocchi commarea per condividere dati tra loro. Molti programmi non convalidano in modo indipendente il contenuto commarea ricevuto, basandosi invece sul presupposto che un chiamante attendibile abbia già eseguito la convalida. Questo presupposto è una delle fonti più frequenti di perdita di privilegi e accesso non autorizzato.

L'analisi statica deve identificare i punti di partenza dell'ingresso dei dati e tracciarne la propagazione attraverso queste chiamate. Ad esempio:

MOVE WS-USERID TO COMM-USERID  
EXEC CICS LINK PROGRAM('ACCTUPD') COMMAREA(COMMAREA-BLOCK) LENGTH(COMM-LEN)

Quindi, in ACCTUPD, potrebbe apparire quanto segue:

IF COMM-USERID = 'ADMIN01'  
   PERFORM ADMIN-ROUTINE

Ciò crea un confine di fiducia implicito. Se WS-USERID è mai stato sovrascritto o falsificato in precedenza nel flusso, ACCTUPD eseguirebbe ciecamente le routine amministrative. L'analisi statica deve essere correlata COMM-USERIDl'origine e contrassegna tutto il codice a valle che lo utilizza per processi decisionali sensibili senza doverlo riconvalidare.

Le tipiche violazioni dei limiti di attendibilità rilevabili tramite scansioni statiche includono:

  • Rami decisionali basati su campi commarea senza autenticazione locale
  • Esecuzione della logica condizionata sui valori terminali o APPLID
  • L'uso di EIBTRMID, EIBTASKN, o EIBRESP nella logica di controllo senza controllo dell'origine
  • Assenza di convalida della sessione utente quando si rientra in una catena pseudo-conversazionale

Rilevamento delle credenziali hardcoded e della logica di escalation dell'autorità

Le revisioni statiche spesso scoprono ID utente hardcoded, codici speciali o APPLID incorporati direttamente nelle istruzioni COBOL. Sebbene questi possano essere stati aggiunti per test interni o soluzioni alternative operative, spesso rimangono negli ambienti di produzione e presentano gravi rischi.

Ecco alcuni esempi di modelli reali spesso segnalati:

IF USER-ID = 'SYSROOT'  
   MOVE 'FULL' TO ACCESS-LEVEL

or

IF EIBTRMID = 'TSTTERM1'  
   MOVE 'Y' TO BYPASS-SECURITY-FLAG

Questi creano percorsi incontrollati verso l'accesso elevato. Se un aggressore ottiene l'accesso a un terminale o scopre un ID utente hardcoded, il resto dell'applicazione potrebbe comportarsi come se fosse stata eseguita un'autenticazione completa.

Un esempio più sottile:

IF SUBSTR(COMMAREA-DATA, 1, 5) = 'DEBUG'  
   PERFORM DIAGNOSTIC-ROUTINES

Se questa logica non viene eliminata o protetta, un input contraffatto potrebbe attivare funzioni che espongono registri, puntatori di file o diagnostica della memoria non destinati agli utenti generici.

Quando si creano regole statiche per rilevare tali difetti, bisogna concentrarsi su:

  • IF or EVALUATE istruzioni che utilizzano valori letterali hardcoded legati a utenti o terminali
  • Mappatura diretta delle credenziali hardcoded per accedere ai flag
  • Bandiere come BYPASS, OVERRIDE, o DEBUG che attivano la logica condizionale
  • Sezioni di codice protette solo da controlli superficiali sul nome utente o sull'ID del terminale

In molti casi, questi controlli sono stati aggiunti in modo informale e mai esaminati. Le scansioni statiche dovrebbero segnalarli per un'ispezione manuale o imporre avvisi basati su pattern in caso di abusi ricorrenti.

Ampliando l'ambito dell'analisi statica per catturare queste condizioni al contorno e i fallback hardcoded, gli auditor e gli ingegneri della sicurezza possono ottenere una migliore visibilità sui punti in cui le applicazioni CICS potrebbero interrompere la catena di fiducia, anche se il resto del sistema sembra funzionare in modo sicuro.

Modelli di struttura del codice che indicano rischi per la sicurezza

Sebbene i singoli comandi CICS possano apparire sicuri se presi singolarmente, la struttura circostante della logica del programma spesso determina se una transazione è effettivamente protetta. L'analisi statica deve andare oltre la scansione riga per riga per comprendere come interagiscono i programmi, come vengono dedotte le autorizzazioni e in quale punto del flusso di controllo è stata incorporata la fiducia implicita.

I sistemi legacy sono particolarmente inclini a questi schemi. Nel tempo, i team di sviluppo introducono logiche temporanee, scorciatoie per i privilegi e transazioni multifunzionali che offuscano la separazione delle attività. Identificare questi anti-schemi strutturali è essenziale per rafforzare la sicurezza delle transazioni.

Mapping transazione-programma con autorizzazioni elevate

Ogni ID di transazione CICS è in genere associato a un programma o a una routine di dispatch specifici. Tuttavia, molti sistemi riutilizzano i codici di transazione in moduli diversi o assegnano gestori di programma generici in grado di eseguire più funzioni sensibili in base all'input dell'utente.

Questo diventa pericoloso quando un gestore generico è associato a una transazione ad alto privilegio senza un filtraggio adeguato. L'analisi statica deve tracciare quali ID di transazione siano mappati a quali programmi e determinare quale logica venga eseguita da ciascun programma in quel contesto di transazione.

Esempio:

EXEC CICS RETRIEVE INTO(COMM-AREA)  
EVALUATE COMM-AREA-FUNCTION  
   WHEN 'UPDATE'  
      PERFORM UPDATE-ROUTINE  
   WHEN 'DELETE'  
      PERFORM DELETE-ROUTINE  
   WHEN OTHER  
      PERFORM INQUIRY-ROUTINE  
END-EVALUATE

Se quanto sopra è mappato su una transazione come FINTRN01e a tale transazione vengono assegnati privilegi di sistema elevati, qualsiasi uso improprio del COMM-AREA-FUNCTION può consentire a un utente di aggirare le restrizioni di ruolo e di richiamare la logica di eliminazione o aggiornamento.

Gli indicatori di rischio includono:

  • Singoli programmi che eseguono più azioni privilegiate in base ai flag forniti dall'utente
  • Mancanza di restrizioni hard-coded tra transazioni e funzioni
  • Codici di transazione condivisi tra ambienti o unità aziendali
  • Assenza di controlli di accesso legati a rami specifici all'interno di un modulo di dispatch

Le scansioni statiche dovrebbero identificare dove i flag commarea controllano il flusso e se tali flussi sono protetti da eventuali vincoli di autenticazione, convalida dei ruoli o a livello di risorsa.

Debolezze del percorso di chiamata a livello di comando rispetto a livello di macro

Un'altra fonte di rischio è l'incoerenza tra i programmi a livello di comando e quelli a livello macro. I sistemi che si sono evoluti nel tempo spesso contengono un mix di entrambi gli stili. Mentre il codice a livello di comando beneficia di una sintassi strutturata e di una migliore leggibilità, il codice a livello macro tende a offrire un accesso di livello inferiore e minori misure di sicurezza.

Quando entrambi i tipi vengono utilizzati insieme, possono introdurre sottili vulnerabilità nel percorso delle chiamate, soprattutto se i programmi a livello macro sono collegati dinamicamente senza misure di sicurezza intermedie.

Esempio:

  • Un programma a livello di comando si collega a un modulo a livello macro che legge o modifica direttamente la memoria condivisa.
  • Il modulo a livello macro presuppone che il programma chiamante abbia già convalidato i dati.
  • Non vengono effettuati controlli intermedi tra l'immissione e l'esecuzione.

Una visione semplificata del flusso:

* In command-level handler  
EXEC CICS LINK PROGRAM('LEGACYIO') COMMAREA(DATA-BLOCK)

* In macro-level module LEGACYIO  
L R1,=V(DATA-BLOCK)  
ST R1,=V(SYSTEM-FILE-POINTER)

In questo caso, il modulo a livello macro è considerato attendibile per operare direttamente sui puntatori di archiviazione. Se il programma chiamante non è riuscito a convalidare DATA-BLOCK, un aggressore potrebbe manipolare regioni di memoria o fare riferimento a set di dati non autorizzati.

L'analisi statica dovrebbe prestare particolare attenzione a:

  • Chiamate LINK o XCTL da programmi strutturati a moduli legacy
  • Passaggio di parametri tra codice a livello di comando e codice a livello macro
  • Utilizzo di puntatori di archiviazione o identificatori di file di sistema senza controllo dei limiti
  • Moduli riutilizzati in cui si presume che la convalida dell'input sia avvenuta altrove

Questi difetti vengono raramente individuati durante i test, poiché le condizioni per l'exploit richiedono spesso un allineamento preciso tra contesto del terminale, parametri dell'attività e flusso di esecuzione. Tuttavia, le scansioni statiche possono rilevare la configurazione strutturale che abilita questi difetti.

Identificando i rischi strutturali (non solo le linee di codice difettose), gli analisti possono valutare meglio lo stato di sicurezza complessivo dei sistemi CICS e stabilire le priorità di ripristino in base al potenziale impatto.

Rilevamento statico dell'abuso di API specifico di CICS

CICS espone un'ampia gamma di comandi EXEC e macro che interagiscono con le risorse a livello di sistema. Tra questi, identificativi di terminale, numeri di task, memoria di sessione e logica di routing delle transazioni. Sebbene queste funzionalità offrano flessibilità, possono anche introdurre vulnerabilità se utilizzate senza adeguate misure di sicurezza. L'uso improprio di queste interfacce può comportare l'elevazione involontaria dei privilegi, l'aggiramento dei controlli o l'accesso ad aree di sistema non autorizzate.

L'analisi statica consente a sviluppatori e revisori di identificare tali rischi esaminando come vengono chiamate queste API, quali parametri consumano e se il contesto di chiamata fornisce una validazione adeguata. Un'implementazione corretta richiede un'attenta analisi del contesto di esecuzione, dei modelli di accesso e dei limiti del flusso di dati tra le transazioni.

Monitoraggio dell'uso non sicuro di EXEC CICS ASSIGN e ADDRESS

Migliori ASSIGN and ADDRESS I comandi forniscono accesso diretto alle strutture interne di CICS. Tra questi rientrano metadati critici come ID di terminale, identificatori di applicazione e posizioni di memoria specifiche per attività. Sebbene questi valori siano spesso utilizzati per la registrazione o il tracciamento delle sessioni, diventano pericolosi quando la logica di controllo ne dipende per le decisioni di sicurezza.

Prendi questo esempio:

EXEC CICS ASSIGN TERMINALID(TERM-ID)
IF TERM-ID = 'DEVBYPASS'
   PERFORM SKIP-AUTH-CHECKS

In questo caso, il controllo degli accessi è direttamente collegato all'ID del terminale. Un utente che conosca il valore o sia in grado di falsificare le impostazioni del terminale può sfruttare questa logica per aggirare i meccanismi di sicurezza.

Oppure considera una variazione che coinvolga ADDRESS:

EXEC CICS ADDRESS EIBTASKN
MOVE EIBTASKN TO TRACE-BUFFER

Da solo, questo sembra innocuo. Tuttavia, se EIBTASKN viene utilizzato in seguito per l'autenticazione o l'autorizzazione delle transazioni, ma introduce un rischio di prevedibilità e di impersonificazione di sessioni non autorizzate.

Gli indicatori comuni di un utilizzo non sicuro di ASSIGN e ADDRESS includono:

  • Controlla i rami basandoti esclusivamente sull'ID del terminale, sull'APPLID o sul numero dell'attività
  • Utilizzo diretto dei valori assegnati per la convalida dell'accesso o per i flag di bypass
  • Riferimenti ai puntatori senza convalida strutturale dopo i comandi ADDRESS
  • Valori hardcoded confrontati con gli identificatori assegnati dal sistema nelle condizioni IF

Gli strumenti di scansione statica devono essere configurati per segnalare queste condizioni, soprattutto quando i dati assegnati influenzano il routing del programma o la logica dei privilegi.

Manomissione del flusso delle transazioni tramite percorsi di esecuzione alternativi

In molte applicazioni CICS, il fallback o il routing alternativo delle transazioni viene utilizzato per migliorare la tolleranza agli errori. Sfortunatamente, questi percorsi alternativi potrebbero non essere adeguatamente convalidati o essere raggiungibili in condizioni indesiderate. Ciò offre agli aggressori l'opportunità di attivare logiche sensibili al di fuori del normale flusso di transazioni.

Considera questo caso:

IF EIBCALEN = 0
   EXEC CICS XCTL PROGRAM('RETRYTX')

Questo codice reindirizza l'esecuzione se non è stata passata alcuna virgola. Ma RETRYTX Potrebbe essere progettato per l'uso solo in sequenze affidabili. Se non impone la propria convalida, un utente potrebbe accedere a funzionalità sensibili semplicemente attivando una transazione di lunghezza zero.

Un altro esempio riguarda l'escalation silenziosa:

IF AUTH-FAILS
   EXEC CICS START TRANSID('ALTID')
   EXEC CICS RETURN

If ALTID corrisponde a una transazione con privilegi maggiori o funzionalità più ampie e non prevede controlli dei ruoli, questo fallback introduce un accesso indesiderato.

In questo caso, i rischi derivano in genere da:

  • Utilizzo di START, XCTL o LINK per cambiare programma in base agli stati di errore
  • ID programma riutilizzati in più codici di transazione
  • Logica RETURN che rimanda la convalida ai moduli downstream
  • Valori di comarea che dettano il flusso senza controlli di integrità

L'analisi statica dovrebbe creare un grafo completo delle transazioni per identificare i programmi con più percorsi di ingresso ed evidenziare quelli che ricevono il controllo dopo una convalida incompleta. Anche quando le funzioni appaiono isolate, i flussi nascosti possono consentire agli aggressori di attivare operazioni privilegiate al di fuori dell'utilizzo previsto.

Gestione dell'offuscamento della logica di sicurezza complessa

Uno degli aspetti più complessi della protezione delle applicazioni CICS legacy è districare una logica di sicurezza offuscata o profondamente nidificata. Molti programmi CICS si sono evoluti nel corso di decenni, passando attraverso diversi team e incorporando diversi livelli di gestione degli accessi. Di conseguenza, le decisioni chiave in materia di sicurezza sono spesso nascoste in percorsi irraggiungibili, replicate tra i moduli o suddivise in routine frammentate. L'analisi statica deve essere in grado di ricostruire questi schemi e rivelare dove ipotesi o sviste abbiano introdotto rischi.

Identificazione di percorsi di autorizzazione divisi su più programmi

Gli sviluppatori CICS implementano comunemente la programmazione pseudo-conversazionale per mantenere lo stato durante le interazioni multiple degli utenti. Così facendo, potrebbero involontariamente separare l'autenticazione dall'autorizzazione. Un programma verifica le credenziali, un altro imposta i flag di sessione e un terzo esegue controlli di accesso. Se un elemento di questa catena si disconnette o viene riutilizzato in un altro contesto, si crea una falla di sicurezza.

Esempio:

Programma 1:

IF USERID = 'SUPPORT1'
   MOVE 'OK' TO SESSION-AUTH
EXEC CICS RETURN TRANSID('TX02')

Programma 2:

IF SESSION-AUTH = 'OK'
   PERFORM PROCESS-ADMIN-DATA

Questo sembra sicuro se usato come previsto. Ma se un'altra transazione avvia direttamente il Programma 2 senza passare attraverso il Programma 1, la variabile SESSION-AUTH potrebbe essere non inizializzato o falsificato. Il secondo programma si fida della validità della sessione basandosi solo su una variabile, senza dover ricontrollare le credenziali.

L'analisi statica deve tenere traccia delle assegnazioni delle variabili nelle transizioni del programma, in particolare:

  • Quando un programma imposta un flag che un altro programma legge per le decisioni di accesso
  • Quando la logica di autorizzazione esiste al di fuori della logica di autenticazione
  • Quando i programmi possono essere avviati direttamente e bypassare la normale convalida degli ingressi

Questi modelli sono estremamente comuni nei progetti legacy e spesso non vengono considerati nelle revisioni manuali.

Deviazioni del flusso di controllo tramite modalità di debug o test interne

A volte gli sviluppatori includono flag nascosti o modalità di debug per facilitare i test. Se queste funzionalità non vengono rimosse prima della distribuzione, o se sono accessibili dai terminali di produzione, possono fornire una backdoor per accedere a parti sensibili dell'applicazione.

Esempio:

IF COMM-FLAG = 'DEBUG'
   PERFORM BYPASS-AUTH-CHECK

O più sottilmente:

IF CURRENT-TIME > '210000'  
   PERFORM EMERGENCY-ROUTINE

Nel secondo caso, una routine attiva dopo l'orario di lavoro potrebbe bypassare alcuni normali controlli di sicurezza, magari per processi batch o interventi di emergenza. Se può essere attivata da una sessione interattiva, tuttavia, apre la strada a un vettore di attacco basato sulle tempistiche.

Durante la scansione alla ricerca di logica offuscata o rischiosa, l'analisi statica dovrebbe dare priorità a:

  • Condizioni insolite che controllano la logica di sicurezza (ora del giorno, ID del terminale, codice regionale)
  • Flag come DEBUG, DEV, OVERRIDE, TEST o BACKDOOR
  • Controlli di accesso che vengono saltati in condizioni di runtime specifiche
  • Percorsi GOTO o PERFORM che saltano i rami di convalida

L'obiettivo è far emergere tutto ciò che consente l'esecuzione nel codice privilegiato senza un controllo di autorizzazione diretto e visibile.

Routine riutilizzate con controllo di accesso incoerente

In molte applicazioni CICS di grandi dimensioni, gli sviluppatori riutilizzano routine comuni per l'accesso ai dati o per la logica di business. Queste routine possono essere richiamate sia da transazioni pubbliche che da utility di amministrazione interne. Se la logica condivisa presuppone che il chiamante abbia già convalidato il ruolo dell'utente, e tale presupposto non sempre è valido, si tratta di una vulnerabilità indiretta.

Una struttura classica si presenta così:

PERFORM UPDATE-ACCT-INFO

...

UPDATE-ACCT-INFO.
   IF ROLE = 'ADMIN'
      EXEC CICS WRITE FILE('ACCTDB')

Questo è sicuro solo se ogni chiamante di UPDATE-ACCT-INFO imposta correttamente il ROLE variabile. Se un'altra parte dell'applicazione chiama questa routine con ROLE non inizializzato o se il chiamante lo imposta in modo errato sulla base di un controllo debole, potrebbe verificarsi un accesso non autorizzato.

Le scansioni statiche dovrebbero contrassegnare:

  • Routine condivise che eseguono azioni sensibili alla sicurezza
  • Assenza di convalida locale all'interno delle routine condivise
  • Variabili utilizzate per le decisioni di accesso definite esternamente
  • Assegnazioni di ruolo che avvengono lontano dal punto di applicazione

Questa forma di offuscamento non deriva da un occultamento intenzionale, ma da una deriva architettonica a lungo termine. Man mano che i componenti vengono riutilizzati tra i moduli, i presupposti di accesso originali si deteriorano. Solo un tracciamento approfondito del codice e la correlazione del contesto possono rivelare questi rischi.

utilizzando SMART TS XL per rilevare ed eliminare le vulnerabilità delle transazioni CICS

Gestire l'analisi di sicurezza nei sistemi mainframe legacy è intrinsecamente complesso. Gli ambienti CICS spesso non hanno una struttura centralizzata, hanno una documentazione moderna minima e si basano su decenni di evoluzione procedurale. SMART TS XL Risolve questi problemi offrendo un motore di analisi statica progettato appositamente per i pattern specifici di COBOL, PL/I, JCL e CICS. A differenza degli strumenti generici, comprende l'architettura e le convenzioni specifiche degli ecosistemi mainframe.

Ricostruzione del flusso multilivello per CICS

SMART TS XL analizza interi portafogli di applicazioni e crea una mappa del flusso interprogramma. Questo include:

  • Mappature da transazione a programma
  • Transizioni da programma a programma utilizzando LINK, XCTL e RETURN
  • Propagazione variabile e commarea
  • Logica di controllo basata sui ruoli e tracciamento delle condizioni di ingresso

Ricostruendo catene di esecuzione complete, è in grado di rilevare quando un programma che presuppone un contesto attendibile è in realtà raggiungibile da più punti, compresi quelli potenzialmente non verificati.

Caso d'uso di esempio:

Un audit interno ha rivelato una falla di sicurezza in cui la transazione TX94 ha attivato un programma che in origine era destinato al solo uso amministrativo. SMART TS XL Ho tracciato il grafo delle chiamate del programma, ho scoperto che il flag di controllo era stato passato tramite un campo commarea non controllato e ho identificato altre cinque transazioni con accesso alla stessa voce del programma. Il tracciamento manuale non ha rilevato questo.

Rilevamento di flag di controllo nascosti e percorsi di accesso offuscati

Molti programmi legacy contengono condizioni di override o routine di emergenza integrate. Queste sono spesso difficili da individuare manualmente a causa di annidamenti profondi, nomi di variabili non comuni o posizionamento all'interno di logiche di fallback. SMART TS XL utilizza scansioni basate su regole e pattern-matching per estrarre:

  • Rami condizionali controllati da valori di flag raramente utilizzati
  • Logica attivata in base all'ID del terminale, all'ora del giorno o ai metadati dell'attività
  • Bypassare i rami utilizzando flag commarea, ID utente codificati o routine a livello macro

Evidenzia tutte le istanze di punti decisionali potenzialmente privilegiati e li classifica in base alla raggiungibilità, all'esposizione alle transazioni e al potenziale di escalation dei privilegi.

Regole di vulnerabilità automatizzate per costrutti CICS

A differenza degli scanner a livello di superficie, SMART TS XL Include regole integrate specifiche per i programmi COBOL-CICS. Queste identificano le vulnerabilità relative a:

  • Utilizzo non sicuro di EXEC CICS ASSIGN e ADDRESS
  • Logica di accesso incoerente nelle routine PERFORMed
  • Manca la convalida prima dei comandi WRITE, DELETE o START
  • Flussi pseudo-conversazionali obsoleti con gestione dello stato debole

Queste regole possono essere personalizzate in base all'ambiente, alla funzione aziendale o ai criteri di audit. Sono particolarmente utili per identificare presupposti errati lasciati dai team di sviluppo più anziani.

Bonifica accelerata con tracciabilità dell'impatto

Una volta segnalata una vulnerabilità, la correzione può essere accelerata tramite SMART TS XLCapacità di tracciamento. Per qualsiasi ramo logico o funzione di programma, può mostrare:

  • Tutte le transazioni che portano ad esso
  • Tutti i moduli che chiama
  • Tutte le variabili dipendono da
  • Qualsiasi logica di accesso che bypassa

Questa mappa di tracciamento aiuta sviluppatori e auditor a capire immediatamente se un difetto è isolato o esposto a livello sistemico. Riduce inoltre il tempo dedicato alla mappatura manuale delle dipendenze e diminuisce il rischio di introdurre nuovi bug durante l'applicazione delle patch.

Conclusione e prossimi passaggi della revisione della sicurezza

Le applicazioni CICS legacy contengono logica aziendale critica, ma la loro età e complessità creano punti ciechi in termini di sicurezza che spesso i metodi standard non rilevano. L'analisi statica offre un modo affidabile per scoprire rischi nascosti prima che possano essere sfruttati, soprattutto quando non si concentra solo sulla sintassi o su frammenti di codice, ma anche sul più ampio flusso di controllo e sulle ipotesi di accesso nelle transazioni.

In questo articolo abbiamo esaminato i tipi di difetti tipici dei sistemi CICS:

  • Logica di autorizzazione sparsa tra programmi debolmente accoppiati
  • Modelli di comando vulnerabili come ASSIGN e ADDRESS senza convalida
  • Transazioni di fallback e percorsi di debug che ignorano i controlli normali
  • Routine riutilizzate che presuppongono un input attendibile dai chiamanti

Per le organizzazioni che gestiscono ampi portafogli CICS, un approccio frammentario alla sicurezza non è più praticabile. Le minacce moderne possono sfruttare una singola svista nascosta in centinaia di moduli. L'analisi statica, se applicata con una profonda consapevolezza del contesto, può far emergere questi problemi prima che diventino operativi o vengano sottoposti a verifica.

Ecco le azioni chiave da considerare come prossimi passi:

  • Creare una mappa completa transazione-programma, inclusi tutti i percorsi XCTL e LINK
  • Identificare e riorganizzare qualsiasi logica aziendale condivisa che esegue operazioni privilegiate
  • Controlla tutti i rami influenzati dai flag commarea o dalle decisioni basate sul terminale
  • Stabilire la convalida di sicurezza al punto di ingresso di ogni transazione
  • Esaminare la logica di fallback e i percorsi di emergenza per l'esposizione involontaria

Per i team che cercano di accelerare questo processo e ridurre lo sforzo manuale, strumenti come SMART TS XL fornisce un'analisi statica su misura per l'architettura CICS, consentendo un refactoring sicuro con tracciabilità completa del flusso.

Proteggere gli ambienti mainframe non richiede solo vigilanza, ma anche visibilità. E l'analisi statica è una delle poche tecniche che offre entrambe le cose.

Connettiti con noi

©2026 IN-COM Data Systems, Inc. Tutti i diritti riservati. SMART TS XL®, INTELLIGENZA SOFTWARE®,

®