CISA ve MITRE’nin en son CWE değişikliği, günümüzde kurumsal yazılımları etkileyen en ciddi tehditleri ortaya koyuyor
MITRE, 2022 CWE’nin en tehlikeli yazılım hataları listesini yayınladı ve işletmelerin, sömürüden korunması gereken bir dizi ortak zayıflıkla karşı karşıya olduğunu vurguladı.
2022 Yaygın Zayıflık Numaralandırması (CWE) En Tehlikeli 25 Yazılım Zayıflığı listesi geçen hafta kamuoyuna açıklandı. CWE Top 25, CISA sponsorluğunda ve MITRE tarafından işletilen İç Güvenlik Sistemleri Mühendislik ve Geliştirme Enstitüsü’nün çalışmasıdır.
Liste, geliştiriciler, araştırmacılar ve yöneticiler için istismar edilebilir yazılım sorunlarıyla ilgili riskleri önceliklendirme ve azaltma konusunda kapsamlı bir kılavuz sağlamaya çalışır.
RÖPORTAJ YAPMAK ‘CAPTCHA’ları seven var mı?’ – Cloudflare CTO’su John Graham-Cumming, web sitesi Turing testleri için sorunsuz bir gelecek öngörüyor
bu CWE Top 25 listesi NIST Ulusal Güvenlik Açığı Veritabanındaki (NVD) CVE verilerinden, yeni CVE kayıtlarına atanan Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanlarından ve CISA Bilinen Açıklardan Yararlanılan Güvenlik Açıkları (KEV) kataloğundan alınan bilgileri kullanır.
“Genellikle bulması ve istismar edilmesi kolay olan bunlar, düşmanların bir sistemi tamamen ele geçirmesine, veri çalmasına veya uygulamaların çalışmasını engellemesine izin veren istismar edilebilir güvenlik açıklarına yol açabilir.” CISA diyor.
CWE Top 25 – hareket ettiriciler ve çalkalayıcılar
Bu yılın gönderimi, son iki yılda toplanan 37.899 CVE kaydını içeriyor. Listede yer alan ilk 10 yazılım sorunu aşağıdadır:
- CWE-787 – Sınır Dışı Yazma
- CWE-79 – Web Sayfası Oluşturma Sırasında Girdinin Uygunsuz Nötralizasyonu (Siteler Arası Komut Dosyası Çalıştırma)
- CWE-89 – Bir SQL Komutunda kullanılan Özel Öğelerin Uygunsuz Nötralizasyonu (SQL Enjeksiyonu)
- CWE-20 – Yanlış Giriş Doğrulaması
- CWE-125 – Sınır Dışı Okuma
- CWE-78 – Bir İşletim Sistemi Komutunda kullanılan Özel Öğelerin Uygunsuz Nötralizasyonu (İşletim Sistemi Komut Enjeksiyonu)
- CWE-416 – Ücretsiz Sonra Kullan
- CWE-22 – Bir Yol Adının Kısıtlı Dizine Uygun Olmayan Sınırlandırılması (Yol Geçişi)
- CWE-352 – Siteler Arası İstek Sahteciliği (CSRF)
- CWE-434 – Tehlikeli Tipte Dosyaların Sınırsız Yüklenmesi
En tehlikeli 10 yazılım zayıflığındaki taşıyıcılar ve çalkalayıcılardan MITRE, SQL enjeksiyon risklerini 2021’e kıyasla üç sıraya çıkardı. Ancak, sınır dışı okuma ve işletim sistemi Komut Enjeksiyonu algılama ve ciddiyet azaldı.
Şu anda 11. sırada, bir işaretçi geçerli olmayı beklediğinde ancak bir uygulamanın çökmesine veya çıkmasına neden olduğunda ortaya çıkan NULL İşaretçi Dereferansı yer almaktadır. Bu, 2021’den bu yana dört sıra yükseldi ve bu tür bir yazılım güvenlik açığının tırmanmaya devam etmesi halinde gelecek listelerde ilk 10’a girmesini bekleyebiliriz.
Kimlik doğrulama sorunları devam ediyor
kimlik doğrulama ve yetkilendirme sorunları, uygunsuz kimlik doğrulama, eksik yetkilendirme ve sabit kodlanmış kimlik bilgilerinin kullanımıyla İlk 25 listesini rahatsız etmeye devam ediyor.
Ancak, işletmelerin veri korumasını daha ciddiye almaya başladığı görülüyor.
Örneğin, hassas bilgilerin yetkisiz kişilere teşhir edilmesi 20 numaradan 33’e düştü; yetersiz kimlik bilgisi koruması 20. sıradan 22 numaraya taşındı ve kritik kaynaklara izinlerin yanlış atanması 22 numaradan 30 numaraya taşındı.
En son bilgi güvenliği sektörü haberlerinin devamını okuyun
İlk 25’e yeni girişler şunları içerir: CWE-362Yarış Koşulları, 33. noktadan 22. noktaya hareket; CWE-94, Kod Enjeksiyonları, 28’den 25’e kadar; ve CWE-400Kontrolsüz Kaynak Tüketimi, 27’den 23’e.
MITRE’ye göre, genel bir geçiş var. sınıf düzeyindeveya ‘soyut’ zayıflıklar Taban seviyesi “tipik olarak belirli diller, teknolojiler veya kaynaklar gruplarıyla ilişkilendirilen” sorunlar.
“Virüsler, kimlik avı ve veri hırsızlığı hepimizi sararken, web güvenliği tehditleri, iş operasyonlarında büyük kesintilere neden olabilir. kötü amaçlı yazılım Bir siber güvenlik firması olan ESET’in küresel siber güvenlik danışmanı Jake Moore, “Ağları verileri silmek veya fidye olarak tutmak için bulaştırmak” dedi.
“İşletmeler, en kötü olasılığa hazırlanmak için tüm cihazların ve yazılımların güncel olduğundan emin olmak, çok faktörlü kimlik doğrulamayı etkinleştirmek ve çevrimdışı ve çevrimiçi yedeklemeler oluşturmak gibi basit ama etkili standartları takip etmelidir.”
Günlük Swig MITRE’ye ulaştı ve geri döndüğümüzde güncelleyeceğiz.
DEVAMINI OKU HTTP/3, RFC 9114’e dönüşüyor – bir güvenlik avantajı, ancak zorluklar da yok