MITRE опубликовала 25 наиболее критических уязвимостей программного обеспечения
Axville (unsplash)
В соответствии с новым отчётом MITRE, межсайтовый скриптинг признан наиболее серьёзной уязвимостью программного обеспечения за последний год. Опубликованный 20 ноября рейтинг 25 самых опасных уязвимостей программного обеспечения, составленный некоммерческой организацией, охватывает наиболее критические уязвимости, перечисленные в каталоге Common Weakness Enumeration (CWE) за период с июня 2023 года по июнь 2024 года.
Чтобы определить уровень критичности уязвимостей программного обеспечения, специалисты MITRE проанализировали 31 770 CVE, зарегистрированных в 2023 и 2024 годах, на предмет уязвимостей, которые «выиграют от повторного анализа сопоставления». Затем эксперты MITRE присвоили каждой уязвимости оценку на основе её серьёзности и частоты эксплойтов в реальных условиях, уделив особое внимание недостаткам безопасности, добавленным в каталог известных эксплуатируемых уязвимостей (KEV) Агентства по кибербезопасности и безопасности инфраструктуры США (CISA).
Злоумышленники часто используют эти уязвимости для компрометации систем, кражи конфиденциальных данных или нарушения работы основных служб. Список основан на анализе записей CVE с июня 2023 года по июнь 2024 года, с упором на уязвимости, включённые в каталог известных эксплуатируемых уязвимостей (KEV) CISA.
| № | Название уязвимости | CWE-идентификатор | Балл | CVE в KEV | Изменение в рейтинге |
|---|---|---|---|---|---|
| 1 | Межсайтовый скриптинг | КВЕ-79 | 56.92 | 3 | +1 |
| 2 | За пределами границ записи | CWE-787 | 45.20 | 18 | -1 |
| 3 | SQL-инъекция | КМЭ-89 | 35.88 | 4 | 0 |
| 4 | Подделка межсайтовых запросов (CSRF) | CWE-352 | 19.57 | 0 | +5 |
| 5 | Прохождение пути | КВЕ-22 | 12.74 | 4 | +3 |
| 6 | Читать вне границ | CWE-125 | 11.42 | 3 | +1 |
| 7 | Инъекция команд ОС | КВЕ-78 | 11.30 | 5 | -2 |
| 8 | Использовать после Free | CWE-416 | 10.19 | 5 | -4 |
| 9 | Отсутствует авторизация | CWE-862 | 10.11 | 0 | +2 |
| 10 | Неограниченная загрузка файлов опасного типа | CWE-434 | 10.03 | 0 | 0 |
| 11 | Введение кода | КМЭ-94 | 7.13 | 7 | +12 |
| 12 | Неправильная проверка входных данных | КВЕ-20 | 6.78 | 1 | -6 |
| 13 | Ввод команды | КМЭ-77 | 6.74 | 4 | +3 |
| 14 | Неправильная аутентификация | CWE-287 | 5.94 | 4 | -1 |
| 15 | Неправильное управление привилегиями | CWE-269 | 5.22 | 0 | +7 |
| 16 | Десериализация ненадежных данных | CWE-502 | 5.07 | 5 | -1 |
| 17 | Раскрытие конфиденциальной информации неавторизованному лицу | CWE-200 | 5.07 | 0 | +13 |
| 18 | Неправильная авторизация | CWE-863 | 4.05 | 2 | +6 |
| 19 | Подделка запросов на стороне сервера (SSRF) | CWE-918 | 4.05 | 2 | 0 |
| 20 | Неправильное ограничение операций в пределах буфера памяти | CWE-119 | 3.69 | 2 | -3 |
| 21 | Разыменование указателя NULL | CWE-476 | 3.58 | 0 | -9 |
| 22 | Использование жестко запрограммированных учетных данных | CWE-798 | 3.46 | 2 | -4 |
| 23 | Целочисленное переполнение или циклический переход | CWE-190 | 3.37 | 3 | -9 |
| 24 | Неконтролируемое потребление ресурсов | CWE-400 | 3.23 | 0 | +13 |
| 25 | Отсутствует аутентификация для критической функции | CWE-306 | 2.73 | 5 | -5 |
В этой таблице представлены 25 основных уязвимостей программного обеспечения, включая их идентификаторы CWE, баллы, количество CVE в каталоге известных эксплуатируемых уязвимостей (KEV) и изменения в рейтинге по сравнению с предыдущим годом.
В MITRE отмечают, что список CWE Top 25 полезен для руководителей, принимающих решения в области инвестиций и политики безопасности. Понимая основные причины этих уязвимостей, организации могут внедрять стратегии для предотвращения их возникновения. Такой проактивный подход не только повышает уровень безопасности, но и позволяет экономить средства за счёт снижения необходимости в исправлениях после развертывания.
Организациям рекомендуется интегрировать CWE Top 25 в жизненный цикл разработки программного обеспечения и процессы закупок. Приоритетное внимание к этим слабым местам помогает компаниям снизить риски, демонстрировать приверженность кибербезопасности и укреплять доверие клиентов.
Прочитать подробнее про рейтинг MITRE можно здесь.
