MITRE, Haziran 2023 ile Haziran 2024 arasında açıklanan 31.000’den fazla güvenlik açığının ardındaki en yaygın ve tehlikeli yazılım zayıflıklarından oluşan bu yılın en iyi 25 listesini paylaştı.
Yazılım zayıflıkları, yazılımın kodunda, mimarisinde, uygulamasında veya tasarımında bulunan kusurları, hataları, güvenlik açıklarını ve hataları ifade eder.
Saldırganlar, savunmasız yazılımın çalıştığı sistemleri ihlal etmek için bunları kullanabilir, böylece etkilenen cihazlar üzerinde kontrol sahibi olabilirler ve hassas verilere erişebilirler veya hizmet reddi saldırılarını tetikleyebilirler.
MITRE bugün yaptığı açıklamada, “Genellikle bulunması ve kullanılması kolay olan bunlar, saldırganların sistemi tamamen ele geçirmesine, verileri çalmasına veya uygulamaların çalışmasını engellemesine olanak tanıyan, sömürülebilir güvenlik açıklarına yol açabilir.” dedi.
“Bu güvenlik açıklarının temel nedenlerini ortaya çıkarmak, bu güvenlik açıklarının ilk etapta ortaya çıkmasını önlemeye yönelik yatırımlar, politikalar ve uygulamalar için güçlü bir rehber görevi görüyor; hem endüstri hem de hükümet paydaşlarına fayda sağlıyor.”
Bu yılın sıralamasını oluşturmak için MITRE, CISA’nın Bilinen listesine eklenen güvenlik kusurlarına odaklanarak 2023 ve 2024 yılları arasında raporlanan ve “yeniden haritalama analizinden fayda sağlayacak” 31.770 CVE kaydını analiz ettikten sonra her zayıflığı ciddiyetine ve sıklığına göre puanladı. İstismar Edilen Güvenlik Açıkları (KEV) kataloğu.
CISA bugün şunları ekledi: “Bu yıllık liste, saldırganların sistemleri tehlikeye atmak, hassas verileri çalmak veya temel hizmetleri kesintiye uğratmak için sıklıkla yararlandığı en kritik yazılım zayıflıklarını tanımlıyor.”
“Kuruluşların bu listeyi incelemeleri ve yazılım güvenliği stratejilerini bilgilendirmek için kullanmaları şiddetle tavsiye edilmektedir. Geliştirme ve satın alma süreçlerinde bu zayıflıkların önceliklendirilmesi, yazılım yaşam döngüsünün merkezindeki güvenlik açıklarının önlenmesine yardımcı olur.”
| Rütbe | İD | İsim | Gol | CVE’ler | Değiştirmek |
|---|---|---|---|---|---|
| 1 | CWE-79 | Siteler Arası Komut Dosyası Çalıştırma | 56.92 | 3 | +1 |
| 2 | CWE-787 | Sınır Dışı Yazma | 45.20 | 18 | -1 |
| 3 | CWE-89 | SQL Enjeksiyonu | 35.88 | 4 | 0 |
| 4 | CWE-352 | Siteler Arası İstek Sahteciliği (CSRF) | 19.57 | 0 | +5 |
| 5 | CWE-22 | Yol Geçişi | 12.74 | 4 | +3 |
| 6 | CWE-125 | Sınır Dışı Okuma | 11.42 | 3 | +1 |
| 7 | CWE-78 | İşletim Sistemi Komut Ekleme | 11.30 | 5 | -2 |
| 8 | CWE-416 | Ücretsiz Sonra Kullan | 10.19 | 5 | -4 |
| 9 | CWE-862 | Eksik Yetkilendirme | 10.11 | 0 | +2 |
| 10 | CWE-434 | Tehlikeli Türde Dosyanın Kısıtlamasız Yüklenmesi | 10.03 | 0 | 0 |
| 11 | CWE-94 | Kod Ekleme | 7.13 | 7 | +12 |
| 12 | CWE-20 | Uygunsuz Giriş Doğrulaması | 6.78 | 1 | -6 |
| 13 | CWE-77 | Komut Enjeksiyonu | 6.74 | 4 | +3 |
| 14 | CWE-287 | Uygunsuz Kimlik Doğrulama | 5.94 | 4 | -1 |
| 15 | CWE-269 | Uygunsuz Ayrıcalık Yönetimi | 5.22 | 0 | +7 |
| 16 | CWE-502 | Güvenilmeyen Verilerin Seriden Çıkarılması | 5.07 | 5 | -1 |
| 17 | CWE-200 | Hassas Bilgilerin Yetkisiz Bir Aktöre İfşa Edilmesi | 5.07 | 0 | +13 |
| 18 | CWE-863 | Yanlış Yetkilendirme | 4.05 | 2 | +6 |
| 19 | CWE-918 | Sunucu Tarafı İstek Sahteciliği (SSRF) | 4.05 | 2 | 0 |
| 20 | CWE-119 | Bellek Arabelleği Sınırlarında Uygunsuz İşlem Kısıtlaması | 3.69 | 2 | -3 |
| 21 | CWE-476 | NULL İşaretçi Referansı | 3.58 | 0 | -9 |
| 22 | CWE-798 | Sabit Kodlanmış Kimlik Bilgilerinin Kullanımı | 3.46 | 2 | -4 |
| 23 | CWE-190 | Tam Sayı Taşması veya Sarma | 3.37 | 3 | -9 |
| 24 | CWE-400 | Kontrolsüz Kaynak Tüketimi | 3.23 | 0 | +13 |
| 25 | CWE-306 | Kritik İşlev için Eksik Kimlik Doğrulaması | 2.73 | 5 | -5 |
CISA ayrıca düzenli olarak, yaygın olarak bilinen ve belgelenen, mevcut ve etkili hafifletme önlemlerine rağmen henüz yazılımdan giderilemeyen güvenlik açıklarının yaygınlığını vurgulayan “Tasarım Yoluyla Güvenli” uyarıları yayınlamaktadır.
Bazıları, Cisco, Palo Alto ve Ivanti ağ uç cihazlarını hedef alan son saldırılarda Çinli Velvet Ant devlet korsanları tarafından istismar edilen işletim sistemi komut enjeksiyonu güvenlik açıklarını satıcılardan ortadan kaldırmalarını isteyen Temmuz ayı uyarısı gibi devam eden kötü niyetli faaliyetlere yanıt olarak yayınlandı.
Mayıs ve Mart aylarında siber güvenlik kurumu, teknoloji yöneticilerini ve yazılım geliştiricilerini ürünlerinde ve kodlarında yol geçişini ve SQL enjeksiyon (SQLi) güvenlik açıklarını önlemeye çağıran iki “Tasarım Yoluyla Güvenli” uyarısı daha yayınladı.
CISA ayrıca teknoloji satıcılarını, Volt Typhoon saldırılarına karşı güvence altına almak için varsayılan parolalara sahip yazılım ve cihazlar ile küçük ofis/ev ofisi (SOHO) yönlendirici üreticilerini göndermeyi durdurmaya çağırdı.
Geçen hafta, FBI, NSA ve Five Eyes siber güvenlik yetkilileri, geçen yıl rutin olarak istismar edilen en önemli 15 güvenlik açığının bir listesini yayınlayarak saldırganların sıfır günleri (açıklanmış ancak henüz yama yapılmamış güvenlik kusurları) hedeflemeye odaklandığı konusunda uyarıda bulundu. ).
“2023’te, en sık istismar edilen güvenlik açıklarının çoğunluğu başlangıçta sıfır gün olarak kullanıldı; bu, en çok yararlanılan güvenlik açıklarının yarısından azının sıfır gün olarak kullanıldığı 2022’ye kıyasla bir artış.”