2024 CWE Top-25 Most Dangerous Software Weaknesses: Итоговый анализ и рекомендации
КибербезопасностьМодель угроз

2024 CWE Top-25 Most Dangerous Software Weaknesses: Итоговый анализ и рекомендации

В 2024 году MITRE выпустила обновленный список CWE Top-25 Most Dangerous Software Weaknesses. Это руководство определяет наиболее критичные уязвимости, которые злоумышленники могут использовать для компрометации систем, кражи данных и сбоев в работе приложений. Новый список построен на анализе 31 770 записей CVE (Common Vulnerabilities and Exposures) и включает как знакомые, так и новые типы слабостей.

В этой статье представлены ключевые изменения в рейтинге, анализ основных трендов, а также рекомендации по снижению рисков.


Ключевые изменения и анализ

  1. Лидерство CWE-79 (XSS):
    • Межсайтовый скриптинг (XSS) вернулся на первое место. Это подчеркивает растущую угрозу атак на веб-приложения.
    • Причина: высокая распространенность слабой нейтрализации пользовательского ввода.
  2. Существенный рост:
    • CWE-352 (Межсайтовая подделка запросов, CSRF) поднялся с 9-го на 4-е место. Причина — рост атак, связанных с недостаточной защитой аутентификации.
    • CWE-94 (Внедрение кода) поднялся на 12 позиций, заняв 11-е место, из-за увеличения числа атак, связанных с генерацией динамического кода.
  3. Новые уязвимости в списке:
    • CWE-400 (Неконтролируемое потребление ресурсов), поднявшийся с 37-го на 24-е место.
    • CWE-200 (Разглашение конфиденциальной информации), вошел в топ-25 на 17-е место.
  4. Снижение позиций:
    • CWE-476 (Разыменование нулевого указателя) упал с 12-го на 21-е место, благодаря улучшению методов предотвращения подобных ошибок.
    • CWE-190 (Целочисленное переполнение или обтекание) снизился на 9 позиций, отражая меньшую частоту его эксплуатации.
  5. Исключенные уязвимости:
    • CWE-362 (Состояние гонки) и CWE-276 (Неправильные разрешения по умолчанию) выбыли из топ-25.

Таблица CWE Top-25 за 2024 год

РейтингIDНазваниеОценкаCVE в KEVИзменение рейтинга
1CWE-79Неправильная нейтрализация ввода данных при создании веб-страницы (XSS)56.923+1
2CWE-787Запись за пределами45.2018-1
3CWE-89Неправильная нейтрализация специальных элементов в SQL (SQL Injection)35.8840
4CWE-352Подделка межсайтовых запросов (CSRF)19.570+5
5CWE-22Неправильное ограничение пути к каталогу (Path Traversal)12.744+3
6CWE-125Чтение за пределами11.423+1
7CWE-78Неправильная нейтрализация в командной строке ОС (Command Injection)11.305-2
8CWE-416Использование после освобождения памяти (Use After Free)10.195-4
9CWE-862Отсутствие авторизации10.110+2
10CWE-434Неограниченная загрузка файла с опасным типом10.0300
11CWE-94Неправильный контроль генерации кода (Code Injection)7.137+12
12CWE-20Неправильная проверка входных данных6.781-6
13CWE-77Неправильная нейтрализация в командах (Command Injection)6.744+3
14CWE-287Неправильная аутентификация5.944-1
15CWE-269Неправильное управление привилегиями5.220+7
16CWE-502Десериализация ненадежных данных5.075-1
17CWE-200Разглашение конфиденциальной информации5.070+13
18CWE-863Неправильная авторизация4.052+6
19CWE-918Подделка запросов на стороне сервера (SSRF)4.0520
20CWE-119Неправильное ограничение операций в буфере памяти3.692-3
21CWE-476Разыменование нулевого указателя3.580-9
22CWE-798Использование жестко закодированных учетных данных3.462-4
23CWE-190Целочисленное переполнение3.373-9
24CWE-400Неконтролируемое потребление ресурсов3.230+13
25CWE-306Отсутствие аутентификации для критической функции2.735-5

Тенденции 2024 года

  1. Рост атак на веб-приложения: XSS, SQL Injection, и CSRF доминируют, отражая высокую распространенность уязвимостей в пользовательских интерфейсах и недостатки в защите сессий.
  2. Фокус на защите данных: CWE-200 демонстрирует повышенный интерес злоумышленников к утечкам конфиденциальной информации.
  3. Улучшение работы с памятью: Падение рейтинга CWE-476 и CWE-190 отражает успехи разработчиков в предотвращении уязвимостей памяти.

Рекомендации для разработчиков и организаций

  1. Внедрение безопасного SDLC:
    Интегрируйте подходы Shift Left, чтобы обнаруживать и исправлять уязвимости на ранних стадиях.
  2. Автоматизация анализа кода:
    Используйте инструменты SAST и DAST для обнаружения уязвимостей в реальном времени.
  3. Повышение осведомленности:
    Организуйте тренинги для разработчиков, фокусируясь на CWE Top-25.
  4. Мониторинг и обновления:
    Регулярно обновляйте программное обеспечение и используйте современные методы защиты от эксплойтов.
  5. Проведение пентестов:
    Тестируйте приложения и инфраструктуру на наличие уязвимостей из списка CWE.

Заключение

Список CWE Top-25 за 2024 год подчеркивает необходимость комплексного подхода к безопасности. Угрозы развиваются, и успешные компании должны внедрять превентивные меры, чтобы оставаться на шаг впереди.

Источники:

admin
Author: admin