MITRE, 2024 yılı için en tehlikeli 25 yazılım zayıflığının yıllık listesini yayınladı ve dünya çapındaki yazılım sistemleri için önemli riskler oluşturan kritik güvenlik açıklarına dikkat çekti.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ile işbirliği içinde geliştirilen bu liste, geliştiriciler, güvenlik uzmanları ve siber güvenlik savunmalarını güçlendirmeyi amaçlayan kuruluşlar için önemli bir kaynaktır.
2024 CWE İlk 25 listesi, 31.770’in üzerinde Ortak Güvenlik Açıkları ve Etkilenme (CVE) kaydıyla bağlantılı en ciddi ve yaygın yazılım zayıflıklarını tanımlar.
Saldırganlar genellikle sistemleri tehlikeye atmak, hassas verileri çalmak veya temel hizmetleri kesintiye uğratmak için bu zayıflıklardan yararlanır. Liste, Haziran 2023’ten Haziran 2024’e kadar CVE kayıtlarının analizine dayanıyor ve CISA’nın Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğunda yer alan güvenlik açıklarına odaklanıyor.
Siber Güvenlik Yatırım Getirisini En Üst Düzeye Çıkarma: KOBİ ve MSP Liderleri için Uzman İpuçları – Ücretsiz Web Seminerine Katılın
En Tehlikeli 10 Yazılım Zayıflığı
MITRE’ye göre 2024’ün en tehlikeli 25 yazılım zayıflığını listeleyen tablo:
| Rütbe | Zayıflık Adı | CWE Kimliği | Gol | KEV’deki CVE’ler | Değiştirmek |
|---|---|---|---|---|---|
| 1 | Siteler Arası Komut Dosyası Çalıştırma | CWE-79 | 56.92 | 3 | +1 |
| 2 | Sınır Dışı Yazma | CWE-787 | 45.20 | 18 | -1 |
| 3 | SQL Enjeksiyonu | CWE-89 | 35.88 | 4 | 0 |
| 4 | Siteler Arası İstek Sahteciliği (CSRF) | CWE-352 | 19.57 | 0 | +5 |
| 5 | Yol Geçişi | CWE-22 | 12.74 | 4 | +3 |
| 6 | Sınır Dışı Okuma | CWE-125 | 11.42 | 3 | +1 |
| 7 | İşletim Sistemi Komut Ekleme | CWE-78 | 11.30 | 5 | -2 |
| 8 | Ücretsiz Sonra Kullan | CWE-416 | 10.19 | 5 | -4 |
| 9 | Eksik Yetkilendirme | CWE-862 | 10.11 | 0 | +2 |
| 10 | Tehlikeli Türde Dosyanın Kısıtlamasız Yüklenmesi | CWE-434 | 10.03 | 0 | 0 |
| 11 | Kod Ekleme | CWE-94 | 7.13 | 7 | +12 |
| 12 | Uygunsuz Giriş Doğrulaması | CWE-20 | 6.78 | 1 | -6 |
| 13 | Komut Enjeksiyonu | CWE-77 | 6.74 | 4 | +3 |
| 14 | Uygunsuz Kimlik Doğrulama | CWE-287 | 5.94 | 4 | -1 |
| 15 | Uygunsuz Ayrıcalık Yönetimi | CWE-269 | 5.22 | 0 | +7 |
| 16 | Güvenilmeyen Verilerin Seriden Çıkarılması | CWE-502 | 5.07 | 5 | -1 |
| 17 | Hassas Bilgilerin Yetkisiz Bir Aktöre İfşa Edilmesi | CWE-200 | 5.07 | 0 | +13 |
| 18 | Yanlış Yetkilendirme | CWE-863 | 4.05 | 2 | +6 |
| 19 | Sunucu Tarafı İstek Sahteciliği (SSRF) | CWE-918 | 4.05 | 2 | 0 |
| 20 | Bellek Arabelleğinin Sınırları İçerisindeki İşlemlerin Uygunsuz Kısıtlanması | CWE-119 | 3.69 | 2 | -3 |
| 21 | NULL İşaretçi Referansı | CWE-476 | 3.58 | 0 | -9 |
| 22 | Sabit Kodlanmış Kimlik Bilgilerinin Kullanımı | CWE-798 | 3.46 | 2 | -4 |
| 23 | Tam Sayı Taşması veya Sarma | CWE-190 | 3.37 | 3 | -9 |
| 24 | Kontrolsüz Kaynak Tüketimi | CWE-400 | 3.23 | 0 | +13 |
| 25 | Kritik İşlev için Eksik Kimlik Doğrulaması | CWE-306 | 2.73 | 5 | -5 |
Bu tablo, CWE kimlikleri, puanları, Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğundaki CVE sayıları ve önceki yıla kıyasla sıralamadaki değişiklikler de dahil olmak üzere en önemli 25 yazılım zayıflığına kapsamlı bir genel bakış sağlar.
CWE Top 25 listesi, güvenlik yatırımlarına ve politikalarına yön vermek açısından çok değerlidir. Kuruluşlar, bu güvenlik açıklarının temel nedenlerini anlayarak bunların oluşmasını engelleyecek stratejiler uygulayabilir.
Bu proaktif yaklaşım güvenliği artırır ve dağıtım sonrası düzeltme ihtiyacını azaltarak maliyet tasarrufu sağlar.
Kuruluşların CWE Top 25’i yazılım geliştirme yaşam döngüsüne ve satın alma süreçlerine entegre etmeleri teşvik edilmektedir. Şirketler bu zayıf yönleri önceliklendirerek riskleri azaltabilir ve siber güvenliğe bağlılık göstererek müşteri güvenini artırabilir.
Tasarımla Güvenlilik uygulamalarını benimsemek, geliştiriciler ve güvenlik ekipleri için çok önemlidir. Bu, güvenlik açıklarının ortaya çıkmasını önlemek için yazılım geliştirmenin her aşamasına güvenlik önlemlerinin dahil edilmesini içerir.
Siber tehditler geliştikçe, en tehlikeli yazılım zayıflıkları hakkında bilgi sahibi olmak, güçlü siber güvenlik savunmalarını sürdürmek için çok önemlidir. 2024 CWE Top 25 listesi, bu zorlukların üstesinden gelmek ve kritik sistemleri kötüye kullanıma karşı korumak için stratejik bir çerçeve sağlıyor.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin