MITRE, 2023 yılı için yıllık İlk 25 “en tehlikeli yazılım zayıflığı” listesini yayınladı.
ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), “Bu zayıflıklar, yazılımda ciddi güvenlik açıklarına yol açıyor” dedi. “Bir saldırgan, etkilenen bir sistemin kontrolünü ele geçirmek, verileri çalmak veya uygulamaların çalışmasını engellemek için genellikle bu güvenlik açıklarından yararlanabilir.”
Liste, önceki iki yıl için CWE zayıflıklarına kök neden eşlemeleri için Ulusal Güvenlik Açığı Verilerindeki (NVD) genel güvenlik açığı verilerinin bir analizine dayanmaktadır. Toplam 43.996 CVE girişi incelendi ve her birine yaygınlık ve ciddiyete göre bir puan eklendi.
En üstte Sınır Dışı Yazma, ardından Siteler Arası Komut Dosyası Çalıştırma, SQL Enjeksiyonu, Serbest Sonra Kullanım, İşletim Sistemi Komut Enjeksiyonu, Uygun Olmayan Giriş Doğrulaması, Sınır Dışı Okuma, Yol Geçişi, Siteler Arası İstek Sahteciliği (CSRF) gelir. ) ve Tehlikeli Türde Dosyanın Sınırsız Karşıya Yüklenmesi. Out-of-bounds Write da 2022’de zirvede yer aldı.
2021 ve 2022’de Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğuna eklenen 70 güvenlik açığı, Sınır Dışı Yazma hatalarıydı. İlk 25’ten düşen bir zayıflık kategorisi, XML Harici Varlık Referansının Uygun Olmayan Kısıtlamasıdır.
Common Weakness Enumeration (CWE) araştırma ekibi, “Bunun gibi güvenlik açığı verileriyle ilgili trend analizi, kuruluşların güvenlik açığı yönetiminde daha iyi yatırım ve politika kararları almasını sağlıyor.”
MITRE, yazılımın yanı sıra, “tasarımcıları ve programcıları ürün geliştirme yaşam döngüsünün başlarında önemli hataları nasıl ortadan kaldıracakları konusunda eğiterek donanım güvenliği sorunlarını kaynağında önleme” amacıyla önemli donanım zayıflıklarının bir listesini de tutar.
Açıklama, CISA’nın ABD Ulusal Güvenlik Teşkilatı (NSA) ile birlikte, kuruluşların Sürekli Entegrasyon/Sürekli Teslimat (CI/CD) ortamlarını kötü niyetli siber aktörlere karşı güçlendirmeleri için tavsiyeler ve en iyi uygulamaları yayınladığı sırada geldi.
Bu, bulut uygulamalarını yapılandırırken güçlü kriptografik algoritmaların uygulanmasını, uzun vadeli kimlik bilgilerinin kullanımını en aza indirmeyi, güvenli kod imzalama eklemeyi, geliştirici kodu taahhütlerini incelemek için iki kişilik kuralları (2PR) kullanmayı, en az ayrıcalık ilkesini (PoLP) benimsemeyi içerir. , ağ segmentasyonunu kullanarak ve hesapları, sırları ve sistemleri düzenli olarak denetleyin.
Ajanslar, “Önerilen azaltmaları uygulayarak kuruluşlar, CI/CD ortamlarındaki istismar vektörlerinin sayısını azaltabilir ve düşmanın nüfuz etmesi için zorlu bir ortam yaratabilir” dedi.
Geliştirme aynı zamanda, Censys’in, çeşitli ABD hükümet ağlarında çalışan yaklaşık 250 cihazın, birçoğu SSH ve TELNET gibi uzak protokoller çalıştıran açık web üzerinde uzaktan yönetim arayüzlerine maruz kaldığına dair yeni bulgularını takip ediyor.
Censys araştırmacıları, “FCEB ajanslarının, bu cihazlardan birini belirledikten sonraki 14 gün içinde BOD 23-02’ye uygun olarak Zero Trust Architecture kavramlarına göre güvence altına alarak veya cihazı halka açık internetten kaldırarak harekete geçmesi gerekiyor.” Dedi.
Bir araştırmaya göre, uzak masaüstü protokolünün (RDP) kullanılması ve VPN’lerin geçtiğimiz yıl tercih edilen bir ilk erişim tekniği haline gelmesiyle, halka açık uzaktan yönetim arabirimleri, ulus devlet bilgisayar korsanları ve siber suçlular tarafından yapılan saldırıların en yaygın yollarından biri olarak ortaya çıktı. ReliaQuest’ten yeni rapor.