В 2024 году MITRE выпустила обновленный список CWE Top-25 Most Dangerous Software Weaknesses. Это руководство определяет наиболее критичные уязвимости, которые злоумышленники могут использовать для компрометации систем, кражи данных и сбоев в работе приложений. Новый список построен на анализе 31 770 записей CVE (Common Vulnerabilities and Exposures) и включает как знакомые, так и новые типы слабостей.
В этой статье представлены ключевые изменения в рейтинге, анализ основных трендов, а также рекомендации по снижению рисков.
Ключевые изменения и анализ
- Лидерство CWE-79 (XSS):
- Межсайтовый скриптинг (XSS) вернулся на первое место. Это подчеркивает растущую угрозу атак на веб-приложения.
- Причина: высокая распространенность слабой нейтрализации пользовательского ввода.
- Существенный рост:
- CWE-352 (Межсайтовая подделка запросов, CSRF) поднялся с 9-го на 4-е место. Причина — рост атак, связанных с недостаточной защитой аутентификации.
- CWE-94 (Внедрение кода) поднялся на 12 позиций, заняв 11-е место, из-за увеличения числа атак, связанных с генерацией динамического кода.
- Новые уязвимости в списке:
- CWE-400 (Неконтролируемое потребление ресурсов), поднявшийся с 37-го на 24-е место.
- CWE-200 (Разглашение конфиденциальной информации), вошел в топ-25 на 17-е место.
- Снижение позиций:
- CWE-476 (Разыменование нулевого указателя) упал с 12-го на 21-е место, благодаря улучшению методов предотвращения подобных ошибок.
- CWE-190 (Целочисленное переполнение или обтекание) снизился на 9 позиций, отражая меньшую частоту его эксплуатации.
- Исключенные уязвимости:
- CWE-362 (Состояние гонки) и CWE-276 (Неправильные разрешения по умолчанию) выбыли из топ-25.
Таблица CWE Top-25 за 2024 год
| Рейтинг | ID | Название | Оценка | CVE в KEV | Изменение рейтинга |
|---|---|---|---|---|---|
| 1 | CWE-79 | Неправильная нейтрализация ввода данных при создании веб-страницы (XSS) | 56.92 | 3 | +1 |
| 2 | CWE-787 | Запись за пределами | 45.20 | 18 | -1 |
| 3 | CWE-89 | Неправильная нейтрализация специальных элементов в SQL (SQL Injection) | 35.88 | 4 | 0 |
| 4 | CWE-352 | Подделка межсайтовых запросов (CSRF) | 19.57 | 0 | +5 |
| 5 | CWE-22 | Неправильное ограничение пути к каталогу (Path Traversal) | 12.74 | 4 | +3 |
| 6 | CWE-125 | Чтение за пределами | 11.42 | 3 | +1 |
| 7 | CWE-78 | Неправильная нейтрализация в командной строке ОС (Command Injection) | 11.30 | 5 | -2 |
| 8 | CWE-416 | Использование после освобождения памяти (Use After Free) | 10.19 | 5 | -4 |
| 9 | CWE-862 | Отсутствие авторизации | 10.11 | 0 | +2 |
| 10 | CWE-434 | Неограниченная загрузка файла с опасным типом | 10.03 | 0 | 0 |
| 11 | CWE-94 | Неправильный контроль генерации кода (Code Injection) | 7.13 | 7 | +12 |
| 12 | CWE-20 | Неправильная проверка входных данных | 6.78 | 1 | -6 |
| 13 | CWE-77 | Неправильная нейтрализация в командах (Command Injection) | 6.74 | 4 | +3 |
| 14 | CWE-287 | Неправильная аутентификация | 5.94 | 4 | -1 |
| 15 | CWE-269 | Неправильное управление привилегиями | 5.22 | 0 | +7 |
| 16 | CWE-502 | Десериализация ненадежных данных | 5.07 | 5 | -1 |
| 17 | CWE-200 | Разглашение конфиденциальной информации | 5.07 | 0 | +13 |
| 18 | CWE-863 | Неправильная авторизация | 4.05 | 2 | +6 |
| 19 | CWE-918 | Подделка запросов на стороне сервера (SSRF) | 4.05 | 2 | 0 |
| 20 | CWE-119 | Неправильное ограничение операций в буфере памяти | 3.69 | 2 | -3 |
| 21 | CWE-476 | Разыменование нулевого указателя | 3.58 | 0 | -9 |
| 22 | CWE-798 | Использование жестко закодированных учетных данных | 3.46 | 2 | -4 |
| 23 | CWE-190 | Целочисленное переполнение | 3.37 | 3 | -9 |
| 24 | CWE-400 | Неконтролируемое потребление ресурсов | 3.23 | 0 | +13 |
| 25 | CWE-306 | Отсутствие аутентификации для критической функции | 2.73 | 5 | -5 |
Тенденции 2024 года
- Рост атак на веб-приложения: XSS, SQL Injection, и CSRF доминируют, отражая высокую распространенность уязвимостей в пользовательских интерфейсах и недостатки в защите сессий.
- Фокус на защите данных: CWE-200 демонстрирует повышенный интерес злоумышленников к утечкам конфиденциальной информации.
- Улучшение работы с памятью: Падение рейтинга CWE-476 и CWE-190 отражает успехи разработчиков в предотвращении уязвимостей памяти.
Рекомендации для разработчиков и организаций
- Внедрение безопасного SDLC:
Интегрируйте подходы Shift Left, чтобы обнаруживать и исправлять уязвимости на ранних стадиях. - Автоматизация анализа кода:
Используйте инструменты SAST и DAST для обнаружения уязвимостей в реальном времени. - Повышение осведомленности:
Организуйте тренинги для разработчиков, фокусируясь на CWE Top-25. - Мониторинг и обновления:
Регулярно обновляйте программное обеспечение и используйте современные методы защиты от эксплойтов. - Проведение пентестов:
Тестируйте приложения и инфраструктуру на наличие уязвимостей из списка CWE.
Заключение
Список CWE Top-25 за 2024 год подчеркивает необходимость комплексного подхода к безопасности. Угрозы развиваются, и успешные компании должны внедрять превентивные меры, чтобы оставаться на шаг впереди.
Источники:
- MITRE CWE Top 25 (2024)
- OWASP Best Practices
- CISA Guidelines for Secure Software Development
Author: admin
Related Posts
Видимость в гибридных облаках: ключевая проблема кибербезопасности в 2025 году
ВведениеСовременные организации сталкиваются с всё более сложными угрозами, что делает...
Скрытая сеть: структура и механизмы китайской киберэкосистемы
ВведениеВ ноябре 2024 года компания Orange Cyberdefense опубликовала отчёт “Скрытая сеть” (The Hidden Network),...
“Атака ближайшего соседа”: новый подход кибератак через Wi-Fi сети
В ноябре 2024 года компания Volexity представила отчёт, посвящённый новому...