Το MITER μοιράστηκε τη φετινή λίστα των 25 κορυφαίων με τις πιο κοινές και επικίνδυνες αδυναμίες λογισμικού πίσω από περισσότερες από 31.000 ευπάθειες που αποκαλύφθηκαν μεταξύ Ιουνίου 2023 και Ιουνίου 2024.
Οι αδυναμίες λογισμικού αναφέρονται σε ελαττώματα, σφάλματα, τρωτά σημεία και σφάλματα που εντοπίζονται στον κώδικα, την αρχιτεκτονική, την υλοποίηση ή τη σχεδίαση του λογισμικού.
Οι εισβολείς μπορούν να τα εκμεταλλευτούν για να παραβιάσουν συστήματα όπου εκτελείται το ευάλωτο λογισμικό, επιτρέποντάς τους να αποκτήσουν τον έλεγχο των επηρεαζόμενων συσκευών και να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα ή να πυροδοτήσουν επιθέσεις άρνησης υπηρεσίας.
“Συχνά εύκολο να βρεθούν και να εκμεταλλευτούν, αυτά μπορεί να οδηγήσουν σε εκμεταλλεύσιμα τρωτά σημεία που επιτρέπουν στους αντιπάλους να καταλάβουν πλήρως ένα σύστημα, να κλέψουν δεδομένα ή να εμποδίσουν τη λειτουργία των εφαρμογών”, MITER είπε σήμερα.
“Η αποκάλυψη των βαθύτερων αιτιών αυτών των τρωτών σημείων χρησιμεύει ως ένας ισχυρός οδηγός για επενδύσεις, πολιτικές και πρακτικές για να αποτραπεί η εμφάνιση αυτών των τρωτών σημείων εξαρχής – προς όφελος τόσο της βιομηχανίας όσο και των κυβερνητικών φορέων.”
Για τη δημιουργία της φετινής κατάταξης, το MITER βαθμολόγησε κάθε αδυναμία με βάση τη σοβαρότητα και τη συχνότητά του, αφού ανέλυσε 31.770 εγγραφές CVE για τρωτά σημεία που “θα ωφελούνταν από την ανάλυση εκ νέου χαρτογράφησης” και αναφέρθηκαν το 2023 και το 2024, με έμφαση στα ελαττώματα ασφαλείας που προστέθηκαν στο CISA Γνωστά εκμεταλλευόμενα τρωτά σημεία (KEV) κατάλογος.
“Αυτή η ετήσια λίστα προσδιορίζει τις πιο κρίσιμες αδυναμίες λογισμικού που οι αντίπαλοι εκμεταλλεύονται συχνά για να παραβιάσουν συστήματα, να κλέψουν ευαίσθητα δεδομένα ή να διαταράξουν βασικές υπηρεσίες”, CISA προστέθηκε σήμερα.
“Οι οργανισμοί ενθαρρύνονται να επανεξετάσουν αυτήν τη λίστα και να τη χρησιμοποιήσουν για να ενημερώσουν τις στρατηγικές ασφάλειας λογισμικού τους. Η ιεράρχηση αυτών των αδυναμιών στις διαδικασίες ανάπτυξης και προμηθειών συμβάλλει στην αποφυγή τρωτών σημείων στον πυρήνα του κύκλου ζωής του λογισμικού.”
| Τάξη | ταυτότητα | Ονομα | Σκορ | KEV CVE | Αλλαγή |
|---|---|---|---|---|---|
| 1 | CWE-79 | Διαδικτυακή δέσμη ενεργειών | 56,92 | 3 | +1 |
| 2 | CWE-787 | Εκτός ορίων Γράψτε | 45,20 | 18 | -1 |
| 3 | CWE-89 | SQL Injection | 35,88 | 4 | 0 |
| 4 | CWE-352 | Παραχάραξη αιτημάτων μεταξύ τοποθεσιών (CSRF) | 19.57 | 0 | +5 |
| 5 | CWE-22 | Διαδρομή διαδρομής | 12,74 | 4 | +3 |
| 6 | CWE-125 | Εκτός ορίων Διαβάστε | 11.42 | 3 | +1 |
| 7 | CWE-78 | OS Command Injection | 11.30 | 5 | -2 |
| 8 | CWE-416 | Χρήση μετά τη δωρεάν | 10.19 | 5 | -4 |
| 9 | CWE-862 | Λείπει η εξουσιοδότηση | 10.11 | 0 | +2 |
| 10 | CWE-434 | Απεριόριστη μεταφόρτωση αρχείου με επικίνδυνο τύπο | 10.03 | 0 | 0 |
| 11 | CWE-94 | Κωδικός Έγχυσης | 7.13 | 7 | +12 |
| 12 | CWE-20 | Λανθασμένη επικύρωση εισόδου | 6,78 | 1 | -6 |
| 13 | CWE-77 | Command Injection | 6.74 | 4 | +3 |
| 14 | CWE-287 | Λανθασμένος έλεγχος ταυτότητας | 5,94 | 4 | -1 |
| 15 | CWE-269 | Λανθασμένη Διαχείριση Προνομίων | 5.22 | 0 | +7 |
| 16 | CWE-502 | Deserialization Μη αξιόπιστων Δεδομένων | 5.07 | 5 | -1 |
| 17 | CWE-200 | Έκθεση ευαίσθητων πληροφοριών σε μη εξουσιοδοτημένο ηθοποιό | 5.07 | 0 | +13 |
| 18 | CWE-863 | Λανθασμένη εξουσιοδότηση | 4.05 | 2 | +6 |
| 19 | CWE-918 | Παραχάραξη αιτημάτων από την πλευρά του διακομιστή (SSRF) | 4.05 | 2 | 0 |
| 20 | CWE-119 | Ακατάλληλος περιορισμός λειτουργιών στα όρια buffer μνήμης | 3,69 | 2 | -3 |
| 21 | CWE-476 | NULL Παράθεση δείκτη | 3.58 | 0 | -9 |
| 22 | CWE-798 | Χρήση σκληρών κωδικοποιημένων διαπιστευτηρίων | 3.46 | 2 | -4 |
| 23 | CWE-190 | Υπερχείλιση ακέραιου αριθμού ή Περιτύλιξη | 3.37 | 3 | -9 |
| 24 | CWE-400 | Ανεξέλεγκτη κατανάλωση πόρων | 3.23 | 0 | +13 |
| 25 | CWE-306 | Λείπει έλεγχος ταυτότητας για κρίσιμη λειτουργία | 2.73 | 5 | -5 |
Η CISA δημοσιεύει επίσης τακτικά ειδοποιήσεις “Secure by Design” υπογραμμίζοντας την επικράτηση ευρέως γνωστών και τεκμηριωμένων τρωτών σημείων που δεν έχουν ακόμη εξαλειφθεί από το λογισμικό παρά τους διαθέσιμους και αποτελεσματικούς μετριασμούς.
Ορισμένα έχουν εκδοθεί ως απάντηση σε συνεχιζόμενη κακόβουλη δραστηριότητα, όπως μια ειδοποίηση Ιουλίου που ζητά από τους προμηθευτές να εξαλείψουν τα τρωτά σημεία εισαγωγής εντολών του μονοπατιού λειτουργικού συστήματος που εκμεταλλεύονται οι κινέζοι χάκερ του κράτους Velvet Ant σε πρόσφατες επιθέσεις που στοχεύουν συσκευές ακμής δικτύου Cisco, Palo Alto και Ivanti.
Τον Μάιο και τον Μάρτιο, η υπηρεσία κυβερνοασφάλειας δημοσίευσε δύο ακόμη ειδοποιήσεις “Secure by Design” που παροτρύνει τα στελέχη τεχνολογίας και τους προγραμματιστές λογισμικού να αποτρέψουν τα τρωτά σημεία διέλευσης διαδρομής και SQL injection (SQLi) στα προϊόντα και τον κώδικά τους.
Η CISA προέτρεψε επίσης τους προμηθευτές τεχνολογίας να σταματήσουν να αποστέλλουν λογισμικό και συσκευές με προεπιλεγμένους κωδικούς πρόσβασης και τους κατασκευαστές δρομολογητών μικρών γραφείων/οικιακών γραφείων (SOHO) για να τα ασφαλίσουν από επιθέσεις Volt Typhoon.
Την περασμένη εβδομάδα, το FBI, η NSA και οι αρχές κυβερνοασφάλειας Five Eyes δημοσίευσαν μια λίστα με τις 15 κορυφαίες ευπάθειες ασφαλείας που χρησιμοποιήθηκαν τακτικά πέρυσι, προειδοποιώντας ότι οι επιτιθέμενοι επικεντρώθηκαν στη στόχευση zero-days (ελαττώματα ασφαλείας που έχουν αποκαλυφθεί αλλά δεν έχουν ακόμη επιδιορθωθεί ).
«Το 2023, η πλειονότητα των πιο συχνά εκμεταλλευόμενων τρωτών σημείων χρησιμοποιήθηκε αρχικά ως μηδενική ημέρα, η οποία είναι μια αύξηση από το 2022, όταν λιγότερες από τις μισές από τις κορυφαίες ευπάθειες αξιοποιήθηκαν ως μηδενική ημέρα», προειδοποίησαν.
VIA: bleepingcomputer.com
