Το MITRE δημοσίευσε μια νέα λίστα με τις κορυφαίες 25 επικίνδυνες αδυναμίες λογισμικού, που εντοπίστηκαν τα δύο προηγούμενα χρόνια.
Οι αδυναμίες λογισμικού περιλαμβάνουν ένα ευρύ φάσμα θεμάτων, όπως flaws, bugs, ευπάθειες και errors στον κώδικα, την αρχιτεκτονική, την υλοποίηση ή το σχεδιασμό λύσεων λογισμικού.
Οι αδυναμίες αυτές θέτουν σε κίνδυνο τα συστήματα στα οποία είναι εγκατεστημένο το ευάλωτο λογισμικό. Λειτουργούν ως μια πιθανή πόρτα εισόδου για κακόβουλους χρήστες που θέλουν να αναλάβουν τον έλεγχο των συσκευών, να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα ή να πραγματοποιήσουν Ddos επιθέσεις, επηρεάζοντας την ομαλή λειτουργία των συστημάτων.
Δείτε επίσης: Οι χάκερ χρησιμοποιούν AI για να κάνουν το malware λιγότερο ανιχνεύσιμο
Για να δημιουργηθεί αυτή η λίστα, το MITRE ανέλυσε 43.996 εγγραφές CVE από την Εθνική βάση δεδομένων ευπαθειών (NVD) του NIST, που αφορούν ευπάθειες που ανακαλύφθηκαν και αναφέρθηκαν το 2021 και το 2022. Το MITRE βαθμολόγησε κάθε αδυναμία με βάση τη σοβαρότητα και τον επιπολασμό της και εστίασε στις εγγραφές CVE που προστέθηκαν στον κατάλογο Known Exploited Vulnerabilities (KEV) της CISA.
Ουσιαστικά, το MITRE αξιολόγησε τη συχνότητα (τον αριθμό των φορών που ένα CWE είναι η βασική αιτία μιας ευπάθειας), σε συνδυασμό με τη μέση σοβαρότητα κάθε μιας από αυτές τις ευπάθειες όταν γίνονται αντικείμενο εκμετάλλευσης (σύμφωνα τη βαθμολογία CVSS).
Οι κορυφαίες 25 αδυναμίες λογισμικού του MITRE είναι επικίνδυνες λόγω του σημαντικού αντίκτυπου και της ευρείας εμφάνισής τους σε λογισμικό τα τελευταία δύο χρόνια.
Όπως είπαμε και παραπάνω, η επιτυχημένη εκμετάλλευσή τους μπορεί να επιτρέψει σε κάποιον να αναλάβει τον πλήρη έλεγχο των στοχευμένων συστημάτων, να κλέψει ευαίσθητα δεδομένα ή να πραγματοποιήσει Ddos επιθέσεις.
Δείτε επίσης: Arcserve: Διόρθωσε κρίσιμη ευπάθεια στο λογισμικό UDP
Το MITRE κυκλοφόρησε αυτή τη λίστα για να ενημερώσει την ευρύτερη κοινότητα σχετικά με τις πιο κρίσιμες αδυναμίες ασφάλειας λογισμικού, που απαιτούν άμεση προσοχή.
| Rank | ID | Name | Score | CVEs in KEV | Rank Change |
|---|---|---|---|---|---|
| 1 | CWE-787 | Out-of-bounds Write | 63.72 | 70 | 0 |
| 2 | CWE-79 | Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) | 45.54 | 4 | 0 |
| 3 | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) | 34.27 | 6 | 0 |
| 4 | CWE-416 | Use After Free | 16.71 | 44 | +3 |
| 5 | CWE-78 | Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) | 15.65 | 23 | +1 |
| 6 | CWE-20 | Improper Input Validation | 15.50 | 35 | -2 |
| 7 | CWE-125 | Out-of-bounds Read | 14.60 | 2 | -2 |
| 8 | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) | 14.11 | 16 | 0 |
| 9 | CWE-352 | Cross-Site Request Forgery (CSRF) | 11.73 | 0 | 0 |
| 10 | CWE-434 | Unrestricted Upload of File with Dangerous Type | 10.41 | 5 | 0 |
| 11 | CWE-862 | Missing Authorization | 6.90 | 0 | +5 |
| 12 | CWE-476 | NULL Pointer Dereference | 6.59 | 0 | -1 |
| 13 | CWE-287 | Improper Authentication | 6.39 | 10 | +1 |
| 14 | CWE-190 | Integer Overflow or Wraparound | 5.89 | 4 | -1 |
| 15 | CWE-502 | Deserialization of Untrusted Data | 5.56 | 14 | -3 |
| 16 | CWE-77 | Improper Neutralization of Special Elements used in a Command (‘Command Injection’) | 4.95 | 4 | +1 |
| 17 | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer | 4.75 | 7 | +2 |
| 18 | CWE-798 | Use of Hard-coded Credentials | 4.57 | 2 | -3 |
| 19 | CWE-918 | Server-Side Request Forgery (SSRF) | 4.56 | 16 | +2 |
| 20 | CWE-306 | Missing Authentication for Critical Function | 3.78 | 8 | -2 |
| 21 | CWE-362 | Concurrent Execution using Shared Resource with Improper Synchronization (‘Race Condition’) | 3.53 | 8 | +1 |
| 22 | CWE-269 | Improper Privilege Management | 3.31 | 5 | +7 |
| 23 | CWE-94 | Improper Control of Generation of Code (‘Code Injection’) | 3.30 | 6 | +2 |
| 24 | CWE-863 | Incorrect Authorization | 3.16 | 0 | +4 |
| 25 | CWE-276 | Incorrect Default Permissions | 3.16 | 0 | -5 |
Software and hardware bugs
Αρχές κυβερνοασφάλειας από όλο τον κόσμο, κυκλοφορούν κατά καιρούς λίστες με σημαντικές ευπάθειες.
Δείτε επίσης: Το Android malware Fluhorse στοχεύει πιστωτικές κάρτες
Η CISA ενθαρρύνει τους προγραμματιστές και τις ομάδες ασφαλείας να ελέγξουν τις λίστες του MITRE με τις ευπάθειες και να αξιολογήσουν τα προτεινόμενα μέτρα αντιμετώπισης για να καθορίσουν αυτά που είναι πιο κατάλληλα για υιοθέτηση.
Δυστυχώς, τα σφάλματα λογισμικού είναι μια αναπόφευκτη πραγματικότητα στον κόσμο της ανάπτυξης λογισμικού. Ωστόσο, ο έγκαιρος εντοπισμός τους και η αντιμετώπισή τους είναι απαραίτητα για την ασφάλεια των συστημάτων.
Πηγή: www.bleepingcomputer.com