Το MITER δημοσιεύει τη νέα λίστα με τα κορυφαία 25 πιο επικίνδυνα σφάλματα λογισμικού
Related Posts
Το MITER μοιράστηκε σήμερα τη φετινή λίστα με τις κορυφαίες 25 πιο επικίνδυνες αδυναμίες που μαστίζουν το λογισμικό τα δύο προηγούμενα χρόνια.
Οι αδυναμίες λογισμικού περιλαμβάνουν ένα ευρύ φάσμα θεμάτων, συμπεριλαμβανομένων ελαττωμάτων, σφαλμάτων, τρωτών σημείων και σφαλμάτων στον κώδικα, την αρχιτεκτονική, την υλοποίηση ή το σχεδιασμό λύσεων λογισμικού.
Οι αδυναμίες μπορούν να θέσουν σε κίνδυνο την ασφάλεια των συστημάτων στα οποία είναι εγκατεστημένο και εκτελείται το λογισμικό. Μπορούν να παρέχουν ένα σημείο εισόδου για κακόβουλους παράγοντες που προσπαθούν να αποκτήσουν τον έλεγχο των επηρεαζόμενων συσκευών, να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα ή να ενεργοποιήσουν καταστάσεις άρνησης υπηρεσίας.
“Αυτές οι αδυναμίες οδηγούν σε σοβαρές ευπάθειες στο λογισμικό. Ένας εισβολέας μπορεί συχνά να εκμεταλλευτεί αυτές τις ευπάθειες για να πάρει τον έλεγχο ενός επηρεασμένου συστήματος, να κλέψει δεδομένα ή να αποτρέψει τη λειτουργία των εφαρμογών”, CISA
προειδοποίησε
σήμερα.
Για τη δημιουργία αυτής της λίστας, το MITER βαθμολόγησε κάθε αδυναμία με βάση τη σοβαρότητα και τον επιπολασμό της, αφού ανέλυσε 43.996 εγγραφές CVE από την Εθνική βάση δεδομένων ευπάθειας (NVD) του NIST για ευπάθειες που ανακαλύφθηκαν και αναφέρθηκαν το 2021 και το 2022 και εστίασε στις εγγραφές CVE που προστέθηκαν στο CISA.
Γνωστά εκμεταλλευόμενα τρωτά σημεία (KEV)
κατάλογος.
“Μετά τη διαδικασία συλλογής, οριοθέτησης και επαναχαρτογράφησης, χρησιμοποιήθηκε ένας τύπος βαθμολόγησης για τον υπολογισμό μιας σειράς κατάταξης αδυναμιών που συνδυάζει τη συχνότητα (τον αριθμό των φορών που ένα CWE είναι η βασική αιτία μιας ευπάθειας), με τη μέση σοβαρότητα κάθε από αυτά τα τρωτά σημεία όταν γίνονται αντικείμενο εκμετάλλευσης (όπως μετράται με τη βαθμολογία CVSS)», δήλωσε ο MITER.
“Και στις δύο περιπτώσεις, η συχνότητα και η σοβαρότητα κανονικοποιούνται σε σχέση με τις ελάχιστες και μέγιστες τιμές που παρατηρούνται στο σύνολο δεδομένων.”
Οι κορυφαίες 25 αδυναμίες της MITRE για το 2023 είναι επικίνδυνες λόγω του σημαντικού αντίκτυπου και της ευρείας εμφάνισης σε λογισμικό που κυκλοφόρησε τα τελευταία δύο χρόνια.
Η επιτυχής εκμετάλλευση μπορεί να επιτρέψει στους επιτιθέμενους να αναλάβουν τον πλήρη έλεγχο των στοχευμένων συστημάτων, να συλλέξουν και να διεισδύσουν ευαίσθητα δεδομένα ή να ενεργοποιήσουν μια άρνηση υπηρεσίας (DoS).
Με την κοινή χρήση αυτής της λίστας, το MITER παρέχει στην ευρύτερη κοινότητα πολύτιμες πληροφορίες σχετικά με τις πιο κρίσιμες αδυναμίες ασφάλειας λογισμικού που απαιτούν άμεση προσοχή.
| Τάξη | ταυτότητα | Ονομα | Σκορ | CVE στο KEV | Αλλαγή κατάταξης |
|---|---|---|---|---|---|
|
1 |
CWE-787 |
Εκτός ορίων Γράψτε | 63,72 | 70 | 0 |
|
2 |
CWE-79 |
Ακατάλληλη εξουδετέρωση εισόδου κατά τη δημιουργία ιστοσελίδων («Σενάρια μεταξύ τοποθεσιών») | 45,54 | 4 | 0 |
|
3 |
CWE-89 |
Ακατάλληλη εξουδετέρωση ειδικών στοιχείων που χρησιμοποιούνται σε μια εντολή SQL (“SQL Injection”) | 34,27 | 6 | 0 |
|
4 |
CWE-416 |
Χρήση μετά τη δωρεάν | 16.71 | 44 | +3 |
|
5 |
CWE-78 |
Ακατάλληλη εξουδετέρωση ειδικών στοιχείων που χρησιμοποιούνται σε μια εντολή λειτουργικού συστήματος («Έγχυση εντολών OS») | 15.65 | 23 | +1 |
|
6 |
CWE-20 |
Λανθασμένη επικύρωση εισόδου | 15.50 | 35 | -2 |
|
7 |
CWE-125 |
Εκτός ορίων Διαβάστε | 14.60 | 2 | -2 |
|
8 |
CWE-22 |
Εσφαλμένος περιορισμός ονόματος διαδρομής σε περιορισμένο κατάλογο («Διάβαση διαδρομής») | 14.11 | 16 | 0 |
|
9 |
CWE-352 |
Παραχάραξη αιτημάτων μεταξύ τοποθεσιών (CSRF) | 11.73 | 0 | 0 |
|
10 |
CWE-434 |
Απεριόριστη μεταφόρτωση αρχείου με επικίνδυνο τύπο | 10.41 | 5 | 0 |
|
11 |
CWE-862 |
Λείπει η εξουσιοδότηση | 6,90 | 0 | +5 |
|
12 |
CWE-476 |
NULL Παράθεση δείκτη | 6,59 | 0 | -1 |
|
13 |
CWE-287 |
Λανθασμένος έλεγχος ταυτότητας | 6.39 | 10 | +1 |
|
14 |
CWE-190 |
Υπερχείλιση ακέραιου αριθμού ή Περιτύλιξη | 5,89 | 4 | -1 |
|
15 |
CWE-502 |
Deserialization Μη αξιόπιστων Δεδομένων | 5,56 | 14 | -3 |
|
16 |
CWE-77 |
Ακατάλληλη εξουδετέρωση των ειδικών στοιχείων που χρησιμοποιούνται σε μια εντολή («Ένεση εντολών») | 4,95 | 4 | +1 |
|
17 |
CWE-119 |
Ακατάλληλος περιορισμός λειτουργιών εντός των ορίων ενός buffer μνήμης | 4,75 | 7 | +2 |
|
18 |
CWE-798 |
Χρήση σκληρών κωδικοποιημένων διαπιστευτηρίων | 4.57 | 2 | -3 |
|
19 |
CWE-918 |
Παραχάραξη αιτημάτων από την πλευρά του διακομιστή (SSRF) | 4.56 | 16 | +2 |
|
20 |
CWE-306 |
Λείπει έλεγχος ταυτότητας για κρίσιμη λειτουργία | 3,78 | 8 | -2 |
|
21 |
CWE-362 |
Ταυτόχρονη εκτέλεση με χρήση κοινόχρηστου πόρου με ακατάλληλο συγχρονισμό (“Συνθήκη αγώνα”) | 3.53 | 8 | +1 |
|
22 |
CWE-269 |
Λανθασμένη Διαχείριση Προνομίων | 3.31 | 5 | +7 |
|
23 |
CWE-94 |
Λανθασμένος Έλεγχος Δημιουργίας Κώδικα («Έγχυση Κώδικα») | 3.30 | 6 | +2 |
|
24 |
CWE-863 |
Λανθασμένη εξουσιοδότηση | 3.16 | 0 | +4 |
|
25 |
CWE-276 |
Λανθασμένα προεπιλεγμένα δικαιώματα | 3.16 | 0 | -5 |
Προειδοποιήσεις σχετικά με σφάλματα λογισμικού και υλικού
Σε μια συλλογική προσπάθεια που περιλαμβάνει αρχές κυβερνοασφάλειας σε όλο τον κόσμο, κυκλοφόρησε τον Απρίλιο του 2022 μια ολοκληρωμένη συλλογή των 15 κορυφαίων τρωτών σημείων που χρησιμοποιούνταν συνήθως σε επιθέσεις το 2021. Αυτή η κοινή προσπάθεια συμμετείχε αξιόλογους οργανισμούς όπως η NSA και το FBI.
Επί πλέον,
ένας κατάλογος σφαλμάτων που αποτελούν αντικείμενο τακτικής εκμετάλλευσης το 2020
αποκαλύφθηκε από την CISA και το FBI σε συνεργασία με το Αυστραλιανό Κέντρο Κυβερνοασφάλειας (ACSC) και το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC).
Η CISA και το FBI μοιράστηκαν επίσης έναν κατάλογο με τα κορυφαία 10 ελαττώματα ασφαλείας που χρησιμοποιήθηκαν πιο συχνά μεταξύ 2016 και 2019.
Τέλος, το MITER προσφέρει επίσης μια λίστα που περιγράφει τα πιο επικίνδυνα ελαττώματα ασφαλείας προγραμματισμού, σχεδιασμού και αρχιτεκτονικής που μαστίζουν τα συστήματα υλικού.
«Η CISA ενθαρρύνει τους προγραμματιστές και τις ομάδες απόκρισης ασφάλειας προϊόντων να αναθεωρήσουν το CWE Top 25 και να αξιολογήσουν τις προτεινόμενες μετριασμούς για να καθορίσουν αυτούς που είναι πιο κατάλληλοι για υιοθέτηση», πρόσθεσε σήμερα η CISA.
«Τις επόμενες εβδομάδες, το πρόγραμμα CWE θα δημοσιεύσει μια σειρά περαιτέρω άρθρων σχετικά με τη μεθοδολογία CWE Top 25, τις τάσεις χαρτογράφησης ευπάθειας και άλλες χρήσιμες πληροφορίες που βοηθούν να καταδειχθεί πώς η διαχείριση ευπάθειας παίζει σημαντικό ρόλο στη Μετατόπιση της Ισορροπίας του Κινδύνου Κυβερνοασφάλειας. “
