Son iki takvim yılında yazılımları etkileyen en tehlikeli ilk 25 yazılım zayıflığı, 2023 Ortak Zayıf Yönler Listesinin (CWE) bir parçası olarak MITRE tarafından yayınlandı.
Saldırganlar, savunmasız bir sistemin kontrolünü ele geçirmek, veri çalmak veya belirli programların işleyişini bozmak için bu kusurları kullanabilir. Bu kusurlar nedeniyle, yazılım ciddi şekilde savunmasız hale gelir.
.png
)
“Bu zayıflıklar, yazılımlarda ciddi güvenlik açıklarına yol açıyor. Bir saldırgan, etkilenen bir sistemin kontrolünü ele geçirmek, verileri çalmak veya uygulamaların çalışmasını engellemek için genellikle bu güvenlik açıklarından yararlanabilir.”
Yazılım kusurları, yazılım çözümlerinin mimarisi, uygulanması, kodu veya tasarımındaki delikler, hatalar, zayıflıklar ve hatalar gibi çok çeşitli sorunları kapsar.
CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) veritabanına eklenen CVE kayıtlarına odaklanan MITRE, bu listeyi derlemek için 2021 ve 2022’de keşfedilen ve bildirilen güvenlik açıkları için NIST’in Ulusal Güvenlik Açığı Veritabanından (NVD) 43.996 CVE girişini değerlendirdi.
Her bir zayıflığa daha sonra şiddeti ve yaygınlığına göre bir puan verildi.
Toplama, kapsam belirleme ve yeniden haritalama aşamalarının ardından, zayıflıkların ağırlık sırasına göre belirlenmesi için bir puanlama formülü kullanılmıştır.
Bu formül, MITRE’ye göre hem sıklığı (bir CWE’nin bir güvenlik açığının birincil nedeni olduğu sıklık) hem de istismar edildiğinde her bir güvenlik açığının ortalama ciddiyetini (CVSS puanı tarafından belirlendiği şekilde) hesaba katar.
Veri setinde kaydedilen maksimum ve minimum değerlere göre hem sıklık hem de şiddet normalleştirilir.
İlk 25 Yazılım Zayıflığı
| Rütbe | İD | İsim | Gol | KEV’deki CVE’ler | Rütbe Değişimi |
|---|---|---|---|---|---|
| 1 | CWE-787 | Sınır Dışı Yazma | 63.72 | 70 | 0 |
| 2 | CWE-79 | Web Sayfası Oluşturma Sırasında Girdinin Uygun Olmayan Nötrleştirilmesi (“Siteler Arası Komut Dosyası Çalıştırma”) | 45.54 | 4 | 0 |
| 3 | CWE-89 | Bir SQL Komutunda Kullanılan Özel Öğelerin Uygun Olmayan Nötrleştirilmesi (“SQL Enjeksiyonu”) | 34.27 | 6 | 0 |
| 4 | CWE-416 | Ücretsizden Sonra Kullan | 16.71 | 44 | +3 |
| 5 | CWE-78 | İşletim Sistemi Komutunda Kullanılan Özel Öğelerin Uygun Olmayan Nötrleştirilmesi (“İşletim Sistemi Komut Enjeksiyonu”) | 15.65 | 23 | +1 |
| 6 | CWE-20 | Hatalı Giriş Doğrulaması | 15.50 | 35 | -2 |
| 7 | CWE-125 | Sınır dışı Okuma | 14.60 | 2 | -2 |
| 8 | CWE-22 | Bir Yol Adını Kısıtlanmış Bir Dizinle Uygun Olmayan Bir Şekilde Sınırlandırma (“Yol Geçişi”) | 14.11 | 16 | 0 |
| 9 | CWE-352 | Siteler Arası İstek Sahteciliği (CSRF) | 11.73 | 0 | 0 |
| 10 | CWE-434 | Tehlikeli Türde Dosyanın Sınırsız Yüklenmesi | 10.41 | 5 | 0 |
| 11 | CWE-862 | Eksik Yetkilendirme | 6.90 | 0 | +5 |
| 12 | CWE-476 | NULL İşaretçi Başvurusu | 6.59 | 0 | -1 |
| 13 | CWE-287 | Yanlış Kimlik Doğrulama | 6.39 | 10 | +1 |
| 14 | CWE-190 | Tamsayı Taşması veya Sarmalama | 5.89 | 4 | -1 |
| 15 | CWE-502 | Güvenilmeyen Verilerin Seri Halinden Çıkarma | 5.56 | 14 | -3 |
| 16 | CWE-77 | Bir Komutta Kullanılan Özel Unsurların Uygunsuz Nötrleştirilmesi (“Komut Enjeksiyonu”) | 4.95 | 4 | +1 |
| 17 | CWE-119 | Bir Bellek Arabelleğinin Sınırları İçerisindeki İşlemlerin Uygun Olmayan Kısıtlaması | 4.75 | 7 | +2 |
| 18 | CWE-798 | Sabit Kodlanmış Kimlik Bilgilerinin Kullanımı | 4.57 | 2 | -3 |
| 19 | CWE-918 | Sunucu Tarafı İstek Sahtekarlığı (SSRF) | 4.56 | 16 | +2 |
| 20 | CWE-306 | Kritik İşlev için Eksik Kimlik Doğrulaması | 3.78 | 8 | -2 |
| 21 | CWE-362 | Uygun Olmayan Senkronizasyonla Paylaşılan Kaynakları Kullanan Eşzamanlı Yürütme (“Yarış Durumu”) | 3.53 | 8 | +1 |
| 22 | CWE-269 | Uygun Olmayan Ayrıcalık Yönetimi | 3.31 | 5 | +7 |
| 23 | CWE-94 | Kod Üretiminin Uygun Olmayan Kontrolü (“Kod Enjeksiyonu”) | 3.30 | 6 | +2 |
| 24 | CWE-863 | Yanlış Yetkilendirme | 3.16 | 0 | +4 |
| 25 | CWE-276 | Yanlış Varsayılan İzinler | 3.16 | 0 | -5 |
Liste, şu anda en yaygın ve önemli yazılım kusurlarını vurgulamaktadır. Bunlar, saldırganların bir sistemi tamamen ele geçirmesine, verileri çalmasına veya uygulamaların çalışmasını durdurmasına olanak tanıyan, kötüye kullanılabilir güvenlik açıklarına neden olabilir.
Genellikle tespit edilmeleri ve istismar edilmeleri kolaydır. Başarılı bir istismar, saldırganların hassas verilere erişmesini sağlayabilir, verileri sızdırabilir veya hedeflenen bilgisayarlarda hizmet reddine (DoS) neden olabilir.
CISA, geliştiricileri ve ürün güvenliği müdahale ekiplerini CWE İlk 25’i analiz etmeye ve benimsenmeye en uygun olanları seçmek için önerilen azaltmaları değerlendirmeye teşvik eder.
CISA, “CISA, geliştiricileri ve ürün güvenliği müdahale ekiplerini CWE İlk 25’i incelemeye ve benimsemeye en uygun olanları belirlemek için önerilen azaltmaları değerlendirmeye teşvik ediyor” dedi.
“Önümüzdeki haftalarda CWE programı, CWE İlk 25 metodolojisi, güvenlik açığı haritalama eğilimleri ve güvenlik açığı yönetiminin Siber Güvenlik Risk Dengesini Değiştirmede nasıl önemli bir rol oynadığını göstermeye yardımcı olan diğer yararlı bilgiler hakkında bir dizi makale yayınlayacak.” .
Ek olarak, CISA, FBI, Avustralya Siber Güvenlik Merkezi (ACSC) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), 2020 için sıklıkla istismar edilen sorunların bir listesini yayınladı.
2016’dan 2019’a kadar en çok istismar edilen ilk 10 güvenlik sorununun bir listesi de CISA ve FBI tarafından sağlandı.
Donanım sistemlerini etkileyen en tehlikeli programlama, tasarım ve mimari güvenlik sorunları da MITRE tarafından bir liste halinde listelenir.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.