MITRE обновляет список 25 самых опасных программных ошибок

отредактировано 23 июл Раздел: Уязвимости систем и приложений
MITRE опубликовал список 25 самых распространенных и опасных уязвимостей, присущих программному обеспечению за последние два года.

Слабые стороны программного обеспечения - это недостатки, ошибки, уязвимости и различные другие типы ошибок, влияющие на код, архитектуру, реализацию или дизайн программного решения, потенциально подвергая системы, на которых оно работает, атакам.

MITRE разработал список 25 лучших, используя данные об общих уязвимостях и воздействиях (CVE) за 2019 и 2020 годы, полученные из Национальной базы данных уязвимостей (NVD) (примерно 27000 CVE).

«Формула оценки используется для расчета ранжированного порядка слабых мест, который объединяет частоту, с которой CWE является основной причиной уязвимости, с прогнозируемой серьезностью ее использования», - пояснил MITRE.

«Этот подход дает объективный взгляд на то, какие уязвимости в настоящее время встречаются в реальном мире, создает основу для аналитической строгости, основанной на публично сообщаемых уязвимостях, а не на субъективных опросах и мнениях, и делает процесс легко повторяемым».

Топ-25 ошибок MITRE 2021 опасны, потому что их обычно легко обнаружить, они имеют большое влияние и распространены в программном обеспечении, выпущенном в течение последних двух лет.

Злоумышленники также могут злоупотреблять ими, чтобы потенциально получить полный контроль над уязвимыми системами, украсть конфиденциальные данные целей или инициировать отказ в обслуживании (DoS) после успешной эксплуатации.

Приведенный ниже список предоставляет сообществу в целом представление о наиболее критических и текущих недостатках безопасности программного обеспечения.
Rank ID Name Score
[1] CWE-787 Out-of-bounds Write 65.93
[2] CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') 46.84
[3] CWE-125 Out-of-bounds Read 24.9
[4] CWE-20 Improper Input Validation 20.47
[5] CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') 19.55
[6] CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') 19.54
[7] CWE-416 Use After Free 16.83
[8] CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') 14.69
[9] CWE-352 Cross-Site Request Forgery (CSRF) 14.46
[10] CWE-434 Unrestricted Upload of File with Dangerous Type 8.45
[11] CWE-306 Missing Authentication for Critical Function 7.93
[12] CWE-190 Integer Overflow or Wraparound 7.12
[13] CWE-502 Deserialization of Untrusted Data 6.71
[14] CWE-287 Improper Authentication 6.58
[15] CWE-476 NULL Pointer Dereference 6.54
[16] CWE-798 Use of Hard-coded Credentials 6.27
[17] CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer 5.84
[18] CWE-862 Missing Authorization 5.47
[19] CWE-276 Incorrect Default Permissions 5.09
[20] CWE-200 Exposure of Sensitive Information to an Unauthorized Actor 4.74
[21] CWE-522 Insufficiently Protected Credentials 4.21
[22] CWE-732 Incorrect Permission Assignment for Critical Resource 4.2
[23] CWE-611 Improper Restriction of XML External Entity Reference 4.02
[24] CWE-918 Server-Side Request Forgery (SSRF) 3.78
[25] CWE-77 Improper Neutralization of Special Elements used in a Command ('Command Injection') 3.58

Топ-10 наиболее часто используемых уязвимостей

В прошлом году, 12 мая, Агентство по кибербезопасности и безопасности инфраструктуры (CISA) и Федеральное бюро расследований (ФБР) также опубликовали список из 10 наиболее часто используемых уязвимостей системы безопасности в период с 2016 по 2019 год.

«Из первой десятки три уязвимости, наиболее часто используемые кибер-субъектами, - это CVE-2017-11882, CVE-2017-0199 и CVE-2012-0158. Все три уязвимости связаны с технологией Microsoft OLE».

Часто использовали CVE-2012-0158, начиная с декабря 2018 года, показывая, что их жертвам не удалось своевременно применить обновления безопасности и что злоумышленники будут продолжать пытаться злоупотреблять ошибками, пока они не исправлены.

Злоумышленники также сосредоточились на использовании брешей в безопасности, вызванных поспешным развертыванием облачных служб совместной работы, таких как Office 365.

Неисправленные уязвимости Pulse Secure VPN (CVE-2019-11510) и Citrix VPN (CVE-2019-19781) также были излюбленной целью в прошлом году после перехода на удаленную работу, вызванного продолжающейся пандемией COVID-19.

Полный список 10 наиболее часто используемых уязвимостей безопасности с 2016 года доступен ниже с прямыми ссылками на их записи NVD.
CVE Associated Malware
CVE-2017-11882 Loki, FormBook, Pony/FAREIT
CVE-2017-0199 FINSPY, LATENTBOT, Dridex
CVE-2017-5638 JexBoss
CVE-2012-0158 Dridex
CVE-2019-0604 China Chopper
CVE-2017-0143 Multiple using the EternalSynergy and EternalBlue Exploit Kit
CVE-2018-4878 DOGCALL
CVE-2017-8759 FINSPY, FinFisher, WingBird
CVE-2015-1641 Toshliph, Uwarrior
CVE-2018-7600 Kitty

https://www.bleepingcomputer.com/news/security/mitre-updates-list-of-top-25-most-dangerous-software-bugs/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.