Сегодня MITRE опубликовала список 25 самых опасных слабостей этого года, от которых страдало программное обеспечение в течение предыдущих двух лет.
Слабые места программного обеспечения охватывают широкий спектр проблем, включая изъяны, баги, уязвимости и ошибки в коде, архитектуре, реализации или дизайне программных решений.
Слабые места могут поставить под угрозу безопасность систем, на которых установлено и запущено программное обеспечение. Они могут стать отправной точкой для злоумышленников, пытающихся получить контроль над уязвимыми устройствами, получить доступ к конфиденциальным данным или вызвать состояние отказа в обслуживании.
“Эти слабые места приводят к серьезным уязвимостям в программном обеспечении. Злоумышленник часто может воспользоваться этими уязвимостями, чтобы получить контроль над уязвимой системой, украсть данные или помешать работе приложений”, – предупредила CISA сегодня.
Чтобы составить этот список, MITRE оценила каждую уязвимость на основе ее серьезности и распространенности после анализа 43 996 записей CVE из Национальной базы данных уязвимостей NIST (NVD) на предмет уязвимостей, обнаруженных и зарегистрированных в течение 2021 и 2022 годов, и уделила особое внимание записям CVE, добавленным в каталог известных эксплуатируемых уязвимостей (KEV) CISA.
“После сбора данных, определения области действия и переназначения была использована формула оценки для расчета порядка ранжирования слабых мест, которая объединяет частоту (количество случаев, когда CWE является основной причиной уязвимости) со средней серьезностью каждой из этих уязвимостей при их использовании (измеряемой по шкале CVSS)”, – сказал МИТРЕ.
“В обоих случаях частота и серьезность нормализованы относительно минимальных и максимальных значений, наблюдаемых в наборе данных”.
25 лучших слабых мест MITRE в 2023 году опасны из-за их значительного влияния и широкого распространения в программном обеспечении, выпущенном за последние два года.
Успешное использование может позволить злоумышленникам получить полный контроль над целевыми системами, собрать и отфильтровать конфиденциальные данные или вызвать отказ в обслуживании (DoS).
Публикуя этот список, MITRE предоставляет более широкому сообществу ценную информацию о наиболее критичных недостатках безопасности программного обеспечения, которые требуют немедленного внимания.
| Рейтинг | ID | Имя | Оценка | CVE в KEV | Изменение рейтинга |
|---|---|---|---|---|---|
| 1 | CWE-787 | Запись за пределами | 63.72 | 70 | 0 |
| 2 | CWE-79 | Неправильная нейтрализация ввода во время генерации веб-страницы (“Межсайтовый скриптинг”) | 45.54 | 4 | 0 |
| 3 | CWE-89 | Неправильная нейтрализация специальных элементов, используемых в команде SQL (“SQL-инъекция”) | 34.27 | 6 | 0 |
| 4 | CWE-416 | Используйте после бесплатного | 16.71 | 44 | +3 |
| 5 | CWE-78 | Неправильная нейтрализация специальных элементов, используемых в команде операционной системы (“Внедрение команды операционной системы”) | 15.65 | 23 | +1 |
| 6 | CWE-20 | Неправильная проверка входных данных | 15.50 | 35 | -2 |
| 7 | CWE-125 | Недоступное чтение | 14.60 | 2 | -2 |
| 8 | CWE-22 | Неправильное ограничение пути к закрытому каталогу (‘Path Traversal’) | 14.11 | 16 | 0 |
| 9 | CWE-352 | Подделка межсайтовых запросов (CSRF) | 11.73 | 0 | 0 |
| 10 | CWE-434 | Неограниченная загрузка файла с опасным типом | 10.41 | 5 | 0 |
| 11 | CWE-862 | Отсутствует авторизация | 6.90 | 0 | +5 |
| 12 | CWE-476 | Разыменование нулевого указателя | 6.59 | 0 | -1 |
| 13 | CWE-287 | Неправильная аутентификация | 6.39 | 10 | +1 |
| 14 | CWE-190 | Переполнение целых чисел или обтекание | 5.89 | 4 | -1 |
| 15 | CWE-502 | Десериализация ненадежных данных | 5.56 | 14 | -3 |
| 16 | CWE-77 | Неправильная нейтрализация специальных элементов, используемых в команде (“Внедрение команды”) | 4.95 | 4 | +1 |
| 17 | CWE-119 | Неправильное ограничение операций в пределах буфера памяти | 4.75 | 7 | +2 |
| 18 | CWE-798 | Использование жестко закодированных учетных данных | 4.57 | 2 | -3 |
| 19 | CWE-918 | Подделка запросов на стороне сервера (SSRF) | 4.56 | 16 | +2 |
| 20 | CWE-306 | Отсутствует аутентификация для критической функции | 3.78 | 8 | -2 |
| 21 | CWE-362 | Параллельное выполнение с использованием общего ресурса с неправильной синхронизацией (“Состояние гонки”) | 3.53 | 8 | +1 |
| 22 | CWE-269 | Неправильное управление привилегиями | 3.31 | 5 | +7 |
| 23 | CWE-94 | Неправильный контроль генерации кода (“Внедрение кода”) | 3.30 | 6 | +2 |
| 24 | CWE-863 | Неправильная авторизация | 3.16 | 0 | +4 |
| 25 | CWE-276 | Неправильные разрешения по умолчанию | 3.16 | 0 | -5 |
Предупреждения, касающиеся программных и аппаратных ошибок
В результате совместных усилий органов кибербезопасности по всему миру в апреле 2022 года была выпущена всеобъемлющая подборка из 15 уязвимостей, наиболее часто используемых в атаках на протяжении 2021 года. В этой совместной работе участвовали известные организации, такие как АНБ и ФБР.
Кроме того, CISA и ФБР совместно с Австралийским центром кибербезопасности (ACSC) и Национальным центром кибербезопасности Великобритании (NCSC) раскрыли перечень регулярно используемых ошибок в 2020 году.
CISA и ФБР также опубликовали каталог, содержащий 10 наиболее часто используемых недостатков безопасности в период с 2016 по 2019 год.
Наконец, MITRE также предлагает список с изложением наиболее опасных недостатков в программировании, дизайне и архитектуре безопасности, присущих аппаратным системам.
“CISA рекомендует разработчикам и группам реагирования на безопасность продуктов просмотреть 25 лучших программных ошибок CWE и оценить рекомендуемые меры по смягчению последствий, чтобы определить те, которые наиболее подходят для внедрения”, – добавила CISA сегодня.
“В ближайшие недели программа CWE опубликует серию дополнительных статей о методологии CWE Top 25, тенденциях картирования уязвимостей и другой полезной информации, которая поможет проиллюстрировать, как управление уязвимостями играет важную роль в изменении баланса рисков кибербезопасности”.
Author: admin
Related Posts
Глобальное исследование облачной безопасности Thales 2024: ключевые выводы и тренды
Альманах Кибербезопасности 2024 Года: 100 Фактов, Цифр, Прогнозов И Статистики
