MITRE bugün, son iki yılda yazılımları rahatsız eden en tehlikeli 25 zayıflığın bu yılki listesini paylaştı.
Yazılım zayıflıkları, yazılım çözümlerinin kodu, mimarisi, uygulaması veya tasarımındaki kusurlar, hatalar, güvenlik açıkları ve hatalar dahil olmak üzere çok çeşitli sorunları kapsar.
Zayıf yönler, yazılımın kurulu olduğu ve çalıştığı sistemlerin güvenliğini tehlikeye atabilir. Etkilenen cihazlar üzerinde kontrol ele geçirmeye, hassas verilere erişmeye veya hizmet reddi durumlarını tetiklemeye çalışan kötü niyetli aktörler için bir giriş noktası sağlayabilirler.
CISA bugün “Bu zayıflıklar, yazılımlarda ciddi güvenlik açıklarına yol açıyor. Bir saldırgan, etkilenen bir sistemin kontrolünü ele geçirmek, verileri çalmak veya uygulamaların çalışmasını engellemek için genellikle bu güvenlik açıklarından yararlanabilir.”
Bu listeyi oluşturmak için MITRE, 2021 ve 2022’de keşfedilen ve bildirilen güvenlik açıkları için NIST’in Ulusal Güvenlik Açığı Veritabanından (NVD) alınan 43.996 CVE girişini analiz ettikten ve CISA’nın Bilinen İstismar Edilen Güvenlik Açıklarına eklenen CVE kayıtlarına odaklandıktan sonra her bir zayıflığı önem derecesine ve yaygınlığına göre puanladı. (KEV) kataloğu.
“Toplama, kapsam belirleme ve yeniden eşleme sürecinden sonra, sıklığı (bir CWE’nin bir güvenlik açığının temel nedeni olduğu sayı) ile her birinin ortalama ciddiyetini birleştiren bir zayıflık sıralamasını hesaplamak için bir puanlama formülü kullanıldı. (CVSS skoru ile ölçüldüğü üzere) bu güvenlik açıklarından yararlanıldığında,” MITRE dedi.
“Her iki durumda da, sıklık ve şiddet, veri setinde gözlemlenen minimum ve maksimum değerlere göre normalleştirilir.”
MITRE’nin 2023’teki ilk 25 zayıflığı, önemli etkileri ve son iki yılda piyasaya sürülen yazılımlarda yaygın olarak görülmesi nedeniyle tehlikelidir.
Başarılı bir istismar, saldırganların hedeflenen sistemlerin tam kontrolünü ele geçirmesine, hassas verileri toplayıp sızdırmasına veya bir hizmet reddi (DoS) tetiklemesine izin verebilir.
MITRE, bu listeyi paylaşarak, daha geniş bir topluluğa, acil müdahale gerektiren en kritik yazılım güvenlik zayıflıkları hakkında değerli bilgiler sağlar.
| Rütbe | İD | İsim | Gol | KEV’deki CVE’ler | Rütbe Değişimi |
|---|---|---|---|---|---|
| 1 | CWE-787 | Sınır Dışı Yazma | 63.72 | 70 | 0 |
| 2 | CWE-79 | Web Sayfası Oluşturma Sırasında Girdinin Uygun Olmayan Nötrleştirilmesi (“Siteler Arası Komut Dosyası Çalıştırma”) | 45.54 | 4 | 0 |
| 3 | CWE-89 | SQL Komutunda Kullanılan Özel Öğelerin Uygun Olmayan Nötrleştirilmesi (“SQL Enjeksiyonu”) | 34.27 | 6 | 0 |
| 4 | CWE-416 | Ücretsizden Sonra Kullan | 16.71 | 44 | +3 |
| 5 | CWE-78 | İşletim Sistemi Komutunda Kullanılan Özel Öğelerin Uygun Olmayan Nötrleştirilmesi (“İşletim Sistemi Komut Enjeksiyonu”) | 15.65 | 23 | +1 |
| 6 | CWE-20 | Hatalı Giriş Doğrulaması | 15.50 | 35 | -2 |
| 7 | CWE-125 | Sınır dışı Okuma | 14.60 | 2 | -2 |
| 8 | CWE-22 | Bir Yol Adını Kısıtlanmış Bir Dizinle Uygun Olmayan Bir Şekilde Sınırlandırma (“Yol Geçişi”) | 14.11 | 16 | 0 |
| 9 | CWE-352 | Siteler Arası İstek Sahteciliği (CSRF) | 11.73 | 0 | 0 |
| 10 | CWE-434 | Tehlikeli Türde Dosyanın Sınırsız Yüklenmesi | 10.41 | 5 | 0 |
| 11 | CWE-862 | Eksik Yetkilendirme | 6.90 | 0 | +5 |
| 12 | CWE-476 | NULL İşaretçi Başvurusu | 6.59 | 0 | -1 |
| 13 | CWE-287 | Yanlış Kimlik Doğrulama | 6.39 | 10 | +1 |
| 14 | CWE-190 | Tamsayı Taşması veya Sarmalama | 5.89 | 4 | -1 |
| 15 | CWE-502 | Güvenilmeyen Verilerin Seri Halinden Çıkarma | 5.56 | 14 | -3 |
| 16 | CWE-77 | Bir Komutta Kullanılan Özel Unsurların Uygunsuz Nötrleştirilmesi (“Komut Enjeksiyonu”) | 4.95 | 4 | +1 |
| 17 | CWE-119 | Bir Bellek Arabelleğinin Sınırları İçerisindeki İşlemlerin Uygun Olmayan Kısıtlaması | 4.75 | 7 | +2 |
| 18 | CWE-798 | Sabit Kodlanmış Kimlik Bilgilerinin Kullanımı | 4.57 | 2 | -3 |
| 19 | CWE-918 | Sunucu Tarafı İstek Sahtekarlığı (SSRF) | 4.56 | 16 | +2 |
| 20 | CWE-306 | Kritik İşlev için Eksik Kimlik Doğrulaması | 3.78 | 8 | -2 |
| 21 | CWE-362 | Uygun Olmayan Senkronizasyonla Paylaşılan Kaynak Kullanarak Eşzamanlı Yürütme (“Yarış Durumu”) | 3.53 | 8 | +1 |
| 22 | CWE-269 | Uygun Olmayan Ayrıcalık Yönetimi | 3.31 | 5 | +7 |
| 23 | CWE-94 | Kod Üretiminin Uygun Olmayan Kontrolü (“Kod Enjeksiyonu”) | 3.30 | 6 | +2 |
| 24 | CWE-863 | Yanlış Yetkilendirme | 3.16 | 0 | +4 |
| 25 | CWE-276 | Yanlış Varsayılan İzinler | 3.16 | 0 | -5 |
Yazılım ve donanım hatalarıyla ilgili uyarılar
Dünya çapındaki siber güvenlik yetkililerinin dahil olduğu ortak bir çabayla, 2021 boyunca saldırılarda yaygın olarak kullanılan ilk 15 güvenlik açığının kapsamlı bir derlemesi Nisan 2022’de yayınlandı. Bu ortak çaba, NSA ve FBI gibi önemli kuruluşları içeriyordu.
Ayrıca, 2020’de rutin olarak kullanılan hataların bir envanteri, Avustralya Siber Güvenlik Merkezi (ACSC) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) ile birlikte CISA ve FBI tarafından ifşa edildi.
CISA ve FBI ayrıca 2016 ile 2019 yılları arasında en sık kullanılan 10 güvenlik açığını içeren bir katalog paylaştı.
Son olarak MITRE, donanım sistemlerini rahatsız eden en tehlikeli programlama, tasarım ve mimari güvenlik açıklarını özetleyen bir liste de sunar.
CISA bugün, “CISA, geliştiricileri ve ürün güvenliği müdahale ekiplerini CWE İlk 25’i gözden geçirmeye ve benimsemeye en uygun olanları belirlemek için önerilen azaltmaları değerlendirmeye teşvik ediyor.”
“Önümüzdeki haftalarda CWE programı, CWE İlk 25 metodolojisi, güvenlik açığı haritalama eğilimleri ve güvenlik açığı yönetiminin Siber Güvenlik Riskinin Dengesini Değiştirmede nasıl önemli bir rol oynadığını göstermeye yardımcı olan diğer yararlı bilgiler hakkında bir dizi makale yayınlayacak. “