En Tehlikeli 25 Yazılım Zayıflığı


Son iki takvim yılında yazılımları etkileyen en tehlikeli ilk 25 yazılım zayıflığı, 2023 Ortak Zayıf Yönler Listesinin (CWE) bir parçası olarak MITRE tarafından yayınlandı.

Saldırganlar, savunmasız bir sistemin kontrolünü ele geçirmek, veri çalmak veya belirli programların işleyişini bozmak için bu kusurları kullanabilir. Bu kusurlar nedeniyle, yazılım ciddi şekilde savunmasız hale gelir.

CSN

“Bu zayıflıklar, yazılımlarda ciddi güvenlik açıklarına yol açıyor. Bir saldırgan, etkilenen bir sistemin kontrolünü ele geçirmek, verileri çalmak veya uygulamaların çalışmasını engellemek için genellikle bu güvenlik açıklarından yararlanabilir.”

Yazılım kusurları, yazılım çözümlerinin mimarisi, uygulanması, kodu veya tasarımındaki delikler, hatalar, zayıflıklar ve hatalar gibi çok çeşitli sorunları kapsar.

CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) veritabanına eklenen CVE kayıtlarına odaklanan MITRE, bu listeyi derlemek için 2021 ve 2022’de keşfedilen ve bildirilen güvenlik açıkları için NIST’in Ulusal Güvenlik Açığı Veritabanından (NVD) 43.996 CVE girişini değerlendirdi.

Her bir zayıflığa daha sonra şiddeti ve yaygınlığına göre bir puan verildi.

Toplama, kapsam belirleme ve yeniden haritalama aşamalarının ardından, zayıflıkların ağırlık sırasına göre belirlenmesi için bir puanlama formülü kullanılmıştır.

Bu formül, MITRE’ye göre hem sıklığı (bir CWE’nin bir güvenlik açığının birincil nedeni olduğu sıklık) hem de istismar edildiğinde her bir güvenlik açığının ortalama ciddiyetini (CVSS puanı tarafından belirlendiği şekilde) hesaba katar.

Veri setinde kaydedilen maksimum ve minimum değerlere göre hem sıklık hem de şiddet normalleştirilir.

İlk 25 Yazılım Zayıflığı

RütbeİDİsimGolKEV’deki CVE’lerRütbe Değişimi
1CWE-787Sınır Dışı Yazma63.72700
2CWE-79Web Sayfası Oluşturma Sırasında Girdinin Uygun Olmayan Nötrleştirilmesi (“Siteler Arası Komut Dosyası Çalıştırma”)45.5440
3CWE-89Bir SQL Komutunda Kullanılan Özel Öğelerin Uygun Olmayan Nötrleştirilmesi (“SQL Enjeksiyonu”)34.2760
4CWE-416Ücretsizden Sonra Kullan16.7144+3
5CWE-78İşletim Sistemi Komutunda Kullanılan Özel Öğelerin Uygun Olmayan Nötrleştirilmesi (“İşletim Sistemi Komut Enjeksiyonu”)15.6523+1
6CWE-20Hatalı Giriş Doğrulaması15.5035-2
7CWE-125Sınır dışı Okuma14.602-2
8CWE-22Bir Yol Adını Kısıtlanmış Bir Dizinle Uygun Olmayan Bir Şekilde Sınırlandırma (“Yol Geçişi”)14.11160
9CWE-352Siteler Arası İstek Sahteciliği (CSRF)11.7300
10CWE-434Tehlikeli Türde Dosyanın Sınırsız Yüklenmesi10.4150
11CWE-862Eksik Yetkilendirme6.900+5
12CWE-476NULL İşaretçi Başvurusu6.590-1
13CWE-287Yanlış Kimlik Doğrulama6.3910+1
14CWE-190Tamsayı Taşması veya Sarmalama5.894-1
15CWE-502Güvenilmeyen Verilerin Seri Halinden Çıkarma5.5614-3
16CWE-77Bir Komutta Kullanılan Özel Unsurların Uygunsuz Nötrleştirilmesi (“Komut Enjeksiyonu”)4.954+1
17CWE-119Bir Bellek Arabelleğinin Sınırları İçerisindeki İşlemlerin Uygun Olmayan Kısıtlaması4.757+2
18CWE-798Sabit Kodlanmış Kimlik Bilgilerinin Kullanımı4.572-3
19CWE-918Sunucu Tarafı İstek Sahtekarlığı (SSRF)4.5616+2
20CWE-306Kritik İşlev için Eksik Kimlik Doğrulaması3.788-2
21CWE-362Uygun Olmayan Senkronizasyonla Paylaşılan Kaynakları Kullanan Eşzamanlı Yürütme (“Yarış Durumu”)3.538+1
22CWE-269Uygun Olmayan Ayrıcalık Yönetimi3.315+7
23CWE-94Kod Üretiminin Uygun Olmayan Kontrolü (“Kod Enjeksiyonu”)3.306+2
24CWE-863Yanlış Yetkilendirme3.160+4
25CWE-276Yanlış Varsayılan İzinler3.160-5
En Tehlikeli 25 Yazılım Zayıflığı

Liste, şu anda en yaygın ve önemli yazılım kusurlarını vurgulamaktadır. Bunlar, saldırganların bir sistemi tamamen ele geçirmesine, verileri çalmasına veya uygulamaların çalışmasını durdurmasına olanak tanıyan, kötüye kullanılabilir güvenlik açıklarına neden olabilir.

Genellikle tespit edilmeleri ve istismar edilmeleri kolaydır. Başarılı bir istismar, saldırganların hassas verilere erişmesini sağlayabilir, verileri sızdırabilir veya hedeflenen bilgisayarlarda hizmet reddine (DoS) neden olabilir.

CISA, geliştiricileri ve ürün güvenliği müdahale ekiplerini CWE İlk 25’i analiz etmeye ve benimsenmeye en uygun olanları seçmek için önerilen azaltmaları değerlendirmeye teşvik eder.

CISA, “CISA, geliştiricileri ve ürün güvenliği müdahale ekiplerini CWE İlk 25’i incelemeye ve benimsemeye en uygun olanları belirlemek için önerilen azaltmaları değerlendirmeye teşvik ediyor” dedi.

“Önümüzdeki haftalarda CWE programı, CWE İlk 25 metodolojisi, güvenlik açığı haritalama eğilimleri ve güvenlik açığı yönetiminin Siber Güvenlik Risk Dengesini Değiştirmede nasıl önemli bir rol oynadığını göstermeye yardımcı olan diğer yararlı bilgiler hakkında bir dizi makale yayınlayacak.” .

Ek olarak, CISA, FBI, Avustralya Siber Güvenlik Merkezi (ACSC) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), 2020 için sıklıkla istismar edilen sorunların bir listesini yayınladı.

2016’dan 2019’a kadar en çok istismar edilen ilk 10 güvenlik sorununun bir listesi de CISA ve FBI tarafından sağlandı.

Donanım sistemlerini etkileyen en tehlikeli programlama, tasarım ve mimari güvenlik sorunları da MITRE tarafından bir liste halinde listelenir.

“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.



Source link