fbpx

MITRE közzétette a 25 legveszélyesebb szoftveres sérülékenységet

A MITRE közzétette éves listáját a CWE Top 25 legveszélyesebb szoftveres gyengeségekről, amely több mint 31 000 sérülékenység alapján készült, melyeket 2023 júniusa és 2024 júniusa között tártak fel.

Főbb trendek és változások a 2024-es listán:

  • Cross-Site Scripting (XSS): Az XSS sérülékenységek az első helyre kerültek, miután 2023-ban még a második helyen álltak.
  • Out-of-Bounds írási hibák: Az előző évben első helyezettek idén a második helyre csúsztak vissza.
  • SQL Injection (SQLi): Ezek a hibák megtartották a harmadik helyüket.
  • Path Traversal és Cross-Site Request Forgery (CSRF): Jelentős előrelépést mutattak, három, illetve öt helyet javítva.
  • Egyéb változások: Az out-of-bounds olvasási hibák egy helyet javítottak, míg az operációs rendszer parancs-injektálási és a use-after-free sérülékenységek hátrébb sorolódtak.

A top 10-be bekerült a hiányzó autorizáció (tavaly a 11. helyen állt) és a korlátlan fájlfeltöltés, amely a 10. helyen maradt. A kódbefecskendezési sérülékenységek viszont jelentős előrelépést mutattak, a 2023-as 23. helyről a 11. helyre ugorva.

Új belépők a 2024-es CWE Top 25-be:

  • Érzékeny adatok kiszivárgása: A 14. helyre ugrott, míg tavaly még a 30. helyen állt.
  • Nem kontrollált erőforrás-felhasználás: A 24. helyre lépett előre a 2023-as 37. helyről.

Ezzel szemben az helytelen alapértelmezett jogosultságok hibái kikerültek a top 25-ből.

Kihasználás és folyamatos fenyegetések

A jól ismert sérülékenységek annak ellenére fennállnak, hogy hatékony csökkentési technikák léteznek. A Cybersecurity and Infrastructure Security Agency (CISA) rendszeresen ad ki figyelmeztetéseket a „Biztonságos tervezés” fontosságáról. Néhány friss példa:

  • Operációs rendszer parancs-injektálás: Egy júliusi riasztás figyelmeztetett a kínai Velvet Ant hackercsoport által kihasznált sérülékenységekre, melyek a Cisco, Palo Alto és Ivanti eszközeit érintették.
  • SQL Injection és Path Traversal: Márciusi és májusi riasztások figyelmeztettek ezeknek a hibáknak a megelőzésére.
  • Alapértelmezett jelszavak veszélyei: A CISA kiemelte, hogy a gyártóknak kerülniük kell az alapértelmezett hitelesítő adatok használatát, amelyeket a Volt Typhoon csoport SOHO routerek elleni támadásaiban is kihasználtak.

Ezen felül az FBI, az NSA és a Five Eyes kibervédelmi ügynökségek múlt héten publikáltak egy listát a 2023-ban leggyakrabban kihasznált 15 sérülékenységről. A jelentés szerint a nulla napos sérülékenységek száma is növekedett.

Könnyű célpontok a támadók számára

A MITRE szerint ezek a gyengeségek „könnyen felfedezhetők és kihasználhatók”, lehetővé téve a támadóknak rendszerek kompromittálását, adatok ellopását vagy alkalmazások működésének megzavarását. Az ilyen problémák gyökereinek kezelése kulcsfontosságú a kormányzati és iparági szereplők számára.

A lista összeállítása

Az idei lista több mint 31 770 Common Vulnerabilities and Exposures (CVE) rekord alapján készült. A MITRE a sérülékenységeket azok súlyossága és gyakorisága alapján rangsorolta, különös figyelmet fordítva a CISA által ismert kihasznált gyengeségekre.

A CISA szerint ez a lista segít azonosítani a kritikus szoftveres gyengeségeket, amelyeket a támadók rendszerek feltörésére és érzékeny adatok megszerzésére használnak.

Útmutatás szervezetek számára

A szervezeteknek javasolt a lista átnézése, és annak beépítése a szoftverbiztonsági stratégiákba. A gyengeségek azonosítása és kezelése a fejlesztés és beszerzés során alapvetően csökkentheti a kockázatokat, és biztonságosabb digitális környezetet teremthet.

Az oldal tartalma nem másolható!