MITRE, Haziran 2024 ile Haziran 2025 arasında açıklanan 39.000’den fazla güvenlik açığının ardındaki en tehlikeli yazılım zayıflıklarının bu yılın en iyi 25 listesini paylaştı.
Liste, Ortak Zayıflık Sayımı (CWE) programını yöneten ve sponsor olan Ulusal Güvenlik Sistemleri Mühendisliği ve Geliştirme Enstitüsü (HSSEDI) ve Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ile işbirliği içinde yayınlandı.
Yazılım zayıflıkları, bir yazılımın kodunda, uygulamasında, mimarisinde veya tasarımında bulunan kusurlar, hatalar, güvenlik açıkları veya hatalar olabilir ve saldırganlar, güvenlik açığı bulunan yazılımı çalıştıran sistemleri ihlal etmek için bunları kötüye kullanabilir. Başarılı bir şekilde yararlanma, tehdit aktörlerinin güvenliği ihlal edilmiş cihazlar üzerinde kontrol sahibi olmasına ve hizmet reddi saldırılarını tetiklemesine veya hassas verilere erişmesine olanak tanır.
Bu yılın sıralamasını oluşturmak için MITRE, 1 Haziran 2024 ile 1 Haziran 2025 arasında bildirilen güvenlik açıkları için 39.080 CVE Kaydını analiz ettikten sonra her zayıflığı ciddiyetine ve sıklığına göre puanladı.
Siteler Arası Komut Dosyası Çalıştırma (CWE-79) hala İlk 25’in zirvesindeki yerini korurken, geçen yılki listeye göre sıralamada birçok değişiklik oldu; bunlar arasında listede en büyük yükselişi sağlayan Eksik Yetkilendirme (CWE-862), Boş İşaretçi Çıkarma (CWE-476) ve Eksik Kimlik Doğrulama (CWE-306) yer alıyor.
Bu yılın en ciddi ve yaygın zayıflıklarındaki yeni girişler şunlardır: Klasik Arabellek Taşması (CWE-120), Yığın Tabanlı Arabellek Taşması (CWE-121), Yığın Tabanlı Arabellek Taşması (CWE-122), Uygunsuz Erişim Denetimi (CWE-284), Kullanıcı Tarafından Kontrol Edilen Anahtar Yoluyla Yetkilendirme Atlaması (CWE-639) ve Kaynakların Sınırsız veya Kısıtlama Olmadan Tahsisi (CWE-770).
| Rütbe | İD | İsim | Gol | CVE’ler | Değiştirmek |
|---|---|---|---|---|---|
| 1 | CWE-79 | Siteler Arası Komut Dosyası Çalıştırma | 60.38 | 7 | 0 |
| 2 | CWE-89 | SQL Enjeksiyonu | 28.72 | 4 | +1 |
| 3 | CWE-352 | Siteler Arası İstek Sahteciliği (CSRF) | 13.64 | 0 | +1 |
| 4 | CWE-862 | Eksik Yetkilendirme | 13.28 | 0 | +5 |
| 5 | CWE-787 | Sınır Dışı Yazma | 12.68 | 12 | -3 |
| 6 | CWE-22 | Yol Geçişi | 8.99 | 10 | -1 |
| 7 | CWE-416 | Ücretsiz Sonra Kullan | 8.47 | 14 | +1 |
| 8 | CWE-125 | Sınır Dışı Okuma | 7.88 | 3 | -2 |
| 9 | CWE-78 | İşletim Sistemi Komut Ekleme | 7.85 | 20 | -2 |
| 10 | CWE-94 | Kod Ekleme | 7.57 | 7 | +1 |
| 11 | CWE-120 | Klasik Arabellek Taşması | 6.96 | 0 | Yok |
| 12 | CWE-434 | Tehlikeli Türde Dosyanın Kısıtlamasız Yüklenmesi | 6.87 | 4 | -2 |
| 13 | CWE-476 | NULL İşaretçi Referansı | 6.41 | 0 | +8 |
| 14 | CWE-121 | Yığın Tabanlı Arabellek Taşması | 5.75 | 4 | Yok |
| 15 | CWE-502 | Güvenilmeyen Verilerin Seriden Çıkarılması | 5.23 | 11 | +1 |
| 16 | CWE-122 | Yığın Tabanlı Arabellek Taşması | 5.21 | 6 | Yok |
| 17 | CWE-863 | Yanlış Yetkilendirme | 4.14 | 4 | +1 |
| 18 | CWE-20 | Uygunsuz Giriş Doğrulaması | 4.09 | 2 | -6 |
| 19 | CWE-284 | Uygunsuz Erişim Kontrolü | 4.07 | 1 | Yok |
| 20 | CWE-200 | Hassas Bilgilerin İfşası | 4.01 | 1 | -3 |
| 21 | CWE-306 | Kritik İşlev için Eksik Kimlik Doğrulaması | 3.47 | 11 | +4 |
| 22 | CWE-918 | Sunucu Tarafı İstek Sahteciliği (SSRF) | 3.36 | 0 | -3 |
| 23 | CWE-77 | Komut Enjeksiyonu | 3.15 | 2 | -10 |
| 24 | CWE-639 | Kullanıcı Kontrollü Anahtar aracılığıyla Yetkilendirmeyi Atlama | 2.62 | 0 | +6 |
| 25 | CWE-770 | Kaynakların Sınırsız veya Kısıtlama Olmadan Tahsisi | 2.54 | 0 | +1 |
MITRE, “Genellikle bulunması ve kullanılması kolay olan bunlar, saldırganların sistemi tamamen ele geçirmesine, verileri çalmasına veya uygulamaların çalışmasını engellemesine olanak tanıyan, sömürülebilir güvenlik açıklarına yol açabilir” dedi.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), “Bu yıllık liste, saldırganların sistemleri tehlikeye atmak, veri çalmak veya hizmetleri bozmak için istismar ettiği en kritik zayıflıkları belirliyor. CISA ve MITRE, kuruluşları bu listeyi incelemeye ve kendi yazılım güvenliği stratejilerini bilgilendirmek için kullanmaya teşvik ediyor.”
Son yıllarda CISA, mevcut hafifletme önlemlerine rağmen yazılımda kalan, geniş çapta belgelenen güvenlik açıklarının yaygınlığına dikkat çeken çok sayıda “Tasarım Yoluyla Güvenli” uyarısı yayınladı.
Bu uyarılardan bazıları, devam eden kötü amaçlı kampanyalara yanıt olarak yayınlandı; örneğin teknoloji şirketlerinden Cisco, Palo Alto ve Ivanti ağ uç cihazlarını hedef alan saldırılarda Çinli Velvet Ant eyalet bilgisayar korsanları tarafından istismar edilen yol işletim sistemi komut ekleme zayıflıklarını ortadan kaldırmalarını isteyen Temmuz 2024 uyarısı.
Siber güvenlik ajansı bu hafta geliştiricilere ve ürün ekiplerine, temel zayıflıkları tespit etmek ve Güvenli Tasarım uygulamalarını benimsemek için 2025 CWE Top 25’i incelemelerini tavsiye ederken, güvenlik ekiplerinden bunu uygulama güvenlik testleri ve güvenlik açığı yönetimi süreçlerine entegre etmeleri istendi.
Nisan 2025’te CISA, MITRE Başkan Yardımcısı Yosry Barsoum’un CVE ve CWE programlarına yönelik hükümet finansmanının sona ereceği yönündeki uyarısının ardından, ABD hükümetinin kritik Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) programının devamlılığını sağlamak için MITRE’nin finansmanını 11 ay daha uzattığını duyurdu.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.