A MITRE közzétette éves listáját a CWE Top 25 legveszélyesebb szoftveres gyengeségekről, amely több mint 31 000 sérülékenység alapján készült, melyeket 2023 júniusa és 2024 júniusa között tártak fel.
Főbb trendek és változások a 2024-es listán:
- Cross-Site Scripting (XSS): Az XSS sérülékenységek az első helyre kerültek, miután 2023-ban még a második helyen álltak.
- Out-of-Bounds írási hibák: Az előző évben első helyezettek idén a második helyre csúsztak vissza.
- SQL Injection (SQLi): Ezek a hibák megtartották a harmadik helyüket.
- Path Traversal és Cross-Site Request Forgery (CSRF): Jelentős előrelépést mutattak, három, illetve öt helyet javítva.
- Egyéb változások: Az out-of-bounds olvasási hibák egy helyet javítottak, míg az operációs rendszer parancs-injektálási és a use-after-free sérülékenységek hátrébb sorolódtak.
A top 10-be bekerült a hiányzó autorizáció (tavaly a 11. helyen állt) és a korlátlan fájlfeltöltés, amely a 10. helyen maradt. A kódbefecskendezési sérülékenységek viszont jelentős előrelépést mutattak, a 2023-as 23. helyről a 11. helyre ugorva.
Új belépők a 2024-es CWE Top 25-be:
- Érzékeny adatok kiszivárgása: A 14. helyre ugrott, míg tavaly még a 30. helyen állt.
- Nem kontrollált erőforrás-felhasználás: A 24. helyre lépett előre a 2023-as 37. helyről.
Ezzel szemben az helytelen alapértelmezett jogosultságok hibái kikerültek a top 25-ből.
Kihasználás és folyamatos fenyegetések
A jól ismert sérülékenységek annak ellenére fennállnak, hogy hatékony csökkentési technikák léteznek. A Cybersecurity and Infrastructure Security Agency (CISA) rendszeresen ad ki figyelmeztetéseket a „Biztonságos tervezés” fontosságáról. Néhány friss példa:
- Operációs rendszer parancs-injektálás: Egy júliusi riasztás figyelmeztetett a kínai Velvet Ant hackercsoport által kihasznált sérülékenységekre, melyek a Cisco, Palo Alto és Ivanti eszközeit érintették.
- SQL Injection és Path Traversal: Márciusi és májusi riasztások figyelmeztettek ezeknek a hibáknak a megelőzésére.
- Alapértelmezett jelszavak veszélyei: A CISA kiemelte, hogy a gyártóknak kerülniük kell az alapértelmezett hitelesítő adatok használatát, amelyeket a Volt Typhoon csoport SOHO routerek elleni támadásaiban is kihasználtak.
Ezen felül az FBI, az NSA és a Five Eyes kibervédelmi ügynökségek múlt héten publikáltak egy listát a 2023-ban leggyakrabban kihasznált 15 sérülékenységről. A jelentés szerint a nulla napos sérülékenységek száma is növekedett.
Könnyű célpontok a támadók számára
A MITRE szerint ezek a gyengeségek „könnyen felfedezhetők és kihasználhatók”, lehetővé téve a támadóknak rendszerek kompromittálását, adatok ellopását vagy alkalmazások működésének megzavarását. Az ilyen problémák gyökereinek kezelése kulcsfontosságú a kormányzati és iparági szereplők számára.
A lista összeállítása
Az idei lista több mint 31 770 Common Vulnerabilities and Exposures (CVE) rekord alapján készült. A MITRE a sérülékenységeket azok súlyossága és gyakorisága alapján rangsorolta, különös figyelmet fordítva a CISA által ismert kihasznált gyengeségekre.
A CISA szerint ez a lista segít azonosítani a kritikus szoftveres gyengeségeket, amelyeket a támadók rendszerek feltörésére és érzékeny adatok megszerzésére használnak.
Útmutatás szervezetek számára
A szervezeteknek javasolt a lista átnézése, és annak beépítése a szoftverbiztonsági stratégiákba. A gyengeségek azonosítása és kezelése a fejlesztés és beszerzés során alapvetően csökkentheti a kockázatokat, és biztonságosabb digitális környezetet teremthet.