MITRE обновляет список самых опасных программных и аппаратных ошибок

отредактировано November 2021 Раздел: Уязвимости систем и приложений
MITRE опубликовал список 25 самых распространенных и опасных уязвимостей, присущих программному обеспечению за последние два года.

Слабые стороны программного обеспечения - это недостатки, ошибки, уязвимости и различные другие типы ошибок, влияющие на код, архитектуру, реализацию или дизайн программного решения, потенциально подвергая системы, на которых оно работает, атакам.

MITRE разработал список 25 лучших, используя данные об общих уязвимостях и воздействиях (CVE) за 2019 и 2020 годы, полученные из Национальной базы данных уязвимостей (NVD) (примерно 27000 CVE).

«Формула оценки используется для расчета ранжированного порядка слабых мест, который объединяет частоту, с которой CWE является основной причиной уязвимости, с прогнозируемой серьезностью ее использования», - пояснил MITRE.

«Этот подход дает объективный взгляд на то, какие уязвимости в настоящее время встречаются в реальном мире, создает основу для аналитической строгости, основанной на публично сообщаемых уязвимостях, а не на субъективных опросах и мнениях, и делает процесс легко повторяемым».

Топ-25 ошибок MITRE 2021 опасны, потому что их обычно легко обнаружить, они имеют большое влияние и распространены в программном обеспечении, выпущенном в течение последних двух лет.

Злоумышленники также могут злоупотреблять ими, чтобы потенциально получить полный контроль над уязвимыми системами, украсть конфиденциальные данные целей или инициировать отказ в обслуживании (DoS) после успешной эксплуатации.

Приведенный ниже список предоставляет сообществу в целом представление о наиболее критических и текущих недостатках безопасности программного обеспечения.
Rank ID Name Score
[1] CWE-787 Out-of-bounds Write 65.93
[2] CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') 46.84
[3] CWE-125 Out-of-bounds Read 24.9
[4] CWE-20 Improper Input Validation 20.47
[5] CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') 19.55
[6] CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') 19.54
[7] CWE-416 Use After Free 16.83
[8] CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') 14.69
[9] CWE-352 Cross-Site Request Forgery (CSRF) 14.46
[10] CWE-434 Unrestricted Upload of File with Dangerous Type 8.45
[11] CWE-306 Missing Authentication for Critical Function 7.93
[12] CWE-190 Integer Overflow or Wraparound 7.12
[13] CWE-502 Deserialization of Untrusted Data 6.71
[14] CWE-287 Improper Authentication 6.58
[15] CWE-476 NULL Pointer Dereference 6.54
[16] CWE-798 Use of Hard-coded Credentials 6.27
[17] CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer 5.84
[18] CWE-862 Missing Authorization 5.47
[19] CWE-276 Incorrect Default Permissions 5.09
[20] CWE-200 Exposure of Sensitive Information to an Unauthorized Actor 4.74
[21] CWE-522 Insufficiently Protected Credentials 4.21
[22] CWE-732 Incorrect Permission Assignment for Critical Resource 4.2
[23] CWE-611 Improper Restriction of XML External Entity Reference 4.02
[24] CWE-918 Server-Side Request Forgery (SSRF) 3.78
[25] CWE-77 Improper Neutralization of Special Elements used in a Command ('Command Injection') 3.58

Топ-10 наиболее часто используемых уязвимостей

В прошлом году, 12 мая, Агентство по кибербезопасности и безопасности инфраструктуры (CISA) и Федеральное бюро расследований (ФБР) также опубликовали список из 10 наиболее часто используемых уязвимостей системы безопасности в период с 2016 по 2019 год.

«Из первой десятки три уязвимости, наиболее часто используемые кибер-субъектами, - это CVE-2017-11882, CVE-2017-0199 и CVE-2012-0158. Все три уязвимости связаны с технологией Microsoft OLE».

Часто использовали CVE-2012-0158, начиная с декабря 2018 года, показывая, что их жертвам не удалось своевременно применить обновления безопасности и что злоумышленники будут продолжать пытаться злоупотреблять ошибками, пока они не исправлены.

Злоумышленники также сосредоточились на использовании брешей в безопасности, вызванных поспешным развертыванием облачных служб совместной работы, таких как Office 365.

Неисправленные уязвимости Pulse Secure VPN (CVE-2019-11510) и Citrix VPN (CVE-2019-19781) также были излюбленной целью в прошлом году после перехода на удаленную работу, вызванного продолжающейся пандемией COVID-19.

Полный список 10 наиболее часто используемых уязвимостей безопасности с 2016 года доступен ниже с прямыми ссылками на их записи NVD.
CVE Associated Malware
CVE-2017-11882 Loki, FormBook, Pony/FAREIT
CVE-2017-0199 FINSPY, LATENTBOT, Dridex
CVE-2017-5638 JexBoss
CVE-2012-0158 Dridex
CVE-2019-0604 China Chopper
CVE-2017-0143 Multiple using the EternalSynergy and EternalBlue Exploit Kit
CVE-2018-4878 DOGCALL
CVE-2017-8759 FINSPY, FinFisher, WingBird
CVE-2015-1641 Toshliph, Uwarrior
CVE-2018-7600 Kitty

https://www.bleepingcomputer.com/news/security/mitre-updates-list-of-top-25-most-dangerous-software-bugs/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.

Комментарии

  • MITRE поделился списком самых опасных слабых мест оборудования

    MITRE поделился списком самых серьезных недостатков безопасности в программировании, дизайне и архитектуре, от которых страдает оборудование в этом году.

    Такие недостатки могут быть обнаружены в аппаратном программировании, дизайне или архитектуре, что приводит к уязвимостям, которые можно использовать, и подвергая системы атакам.

    Этот список является результатом сотрудничества некоммерческой организации MITRE в рамках Hardware CWE Special Interest Group (SIG), сообщества лиц, представляющих организации из областей "проектирования оборудования, производства, исследований и безопасности, а также академических кругов и организаций". правительство."

    «Методология, используемая для создания первого списка наиболее важных недостатков оборудования CWE, несколько ограничена с точки зрения научной и статистической строгости», - пояснил MITER.

    «Ввиду отсутствия более релевантных данных, на основе которых можно было бы проводить систематические исследования, список был составлен с использованием модифицированного метода Delphi, основанного на субъективных мнениях, хотя и от информированных экспертов по содержанию».

    Безрейтинговый список слабых мест оборудования

    Основная цель исследования MITRE 2021 CWE «Наиболее важные недостатки оборудования» - привлечь внимание к общим слабым местам оборудования с помощью перечня общих недостатков (CWE).

    Это также может помочь предотвратить проблемы с безопасностью оборудования у источника, обучая программистов и дизайнеров тому, как устранять критические ошибки на ранних этапах жизненного цикла разработки продукта.

    Кроме того, инженеры-тестировщики и аналитики безопасности также могут использовать этот список для подготовки планов тестирования и оценки безопасности.

    Приведенный ниже список дает представление о десяти наиболее серьезных недостатках безопасности оборудования из 96 записей об оборудовании в корпусе CWE.
    CWE-1189 Неправильная изоляция общих ресурсов в системе на кристалле (SoC)
    CWE-1191 Встроенный интерфейс для отладки и тестирования с неправильным контролем доступа
    CWE-1231 Неправильное предотвращение модификации битов блокировки
    CWE-1233 Чувствительные к безопасности элементы управления оборудованием с защитой от отсутствия битов блокировки
    CWE-1240 Использование криптографического примитива в опасной реализации
    CWE-1244 Внутренний ресурс подвержен небезопасному уровню или состоянию доступа отладки
    CWE-1256 Неправильное ограничение программных интерфейсов аппаратными функциями
    CWE-1260 Неправильная обработка перекрытия между диапазонами защищенной памяти
    CWE-1272 Конфиденциальная информация не очищена перед переходом из состояния отладки / питания
    CWE-1274 Неправильный контроль доступа к энергозависимой памяти, содержащей загрузочный код
    CWE-1277 Прошивка не обновляется
    CWE-1300 Неправильная защита физических боковых каналов

    «Потребители оборудования могут использовать список, чтобы помочь им запросить у своих поставщиков более безопасные продукты», - добавил МИТРE.

    «Наконец, менеджеры и ИТ-директора могут использовать этот список в качестве измерителя прогресса в своих усилиях по защите своего оборудования и выяснять, куда направить ресурсы для разработки инструментов безопасности или процессов автоматизации, которые уменьшают широкий класс уязвимостей за счет устранения основной причины. "

    В июле MITRE также опубликовал 25 самых распространенных и опасных уязвимостей, присущих программному обеспечению за предыдущие два года.

    https://www.bleepingcomputer.com/news/security/mitre-shares-list-of-most-dangerous-hardware-weaknesses/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.