✔MITRE составила список 25 самых опасных багов - «Новости»

Специалисты организации MITRE опубликовали список 25 самых опасных проблем в программном обеспечение за последние два года. В него вошли самые разные ндостатки, включая уязвимости и ошибки в коде, архитектуре, имплементации и дизайне софта. Такие недостатки могут поставить под угрозу безопасность систем, где установлено и работает проблемное ПО. Они могут стать точкой входа для злоумышленников, пытающихся получить контроль над уязвимыми устройствами, помогут атакующим получить доступ к конфиденциальным данным или спровоцировать отказ в обслуживании. Для составления этого списка аналитики MITRE детально изучили 43 996 идентификаторов CVE из Национальной базы данных уязвимостей (NVD) NIST, обнаруженных и описанных в 2021 и 2022 годах. Отдельное внимание эксперты уделили тем CVE, которые были добавлены в список известных эксплуатируемых уязвимостей (KEV), который составляют аналитики Агентства кибербезопасности и безопасности инфраструктуры (CISA). Проблемы в списке имеют собственные идентификаторы CWE (не путать с CVE) — Common Weakness Enumeration. CWE отличаются от CVE тем, что, по сути, первые являются предшественниками вторых, то есть CWE приводят к появлению непосредственно уязвимостей. CWE делятся более чем на 600 категорий, которые объединяют в себе весьма обширные классы разнообразных проблем, например, CWE-20 (некорректная проверка вводимых данных), CWE- 200 (раскрытие информации) и CWE-287 (некорректная аутентификация). К наиболее опасным проблемам в MITRE по-прежнему относят недостатки, которые легко обнаружить, они оказывают сильное влияние и широко распространены в программном обеспечении, выпущенном за последние два года. «CISA призывает всех разработчиков и группы реагирования на угрозы безопасности изучить список топ-25 CWE и оценить рекомендуемые меры по снижению рисков, чтобы определить наиболее подходящие для принятия», — рекомендуют в CISA. Список топ-25 CWE, составленный специалистами MITRE, выглядит следующим образом: Место ID Проблема Оценка Количество CVE в KEV Изменения по сравнению с 2022 годом 1 CWE-787 Out-of-bounds запись 63.72 70 0 2 CWE-79 Некорректная нейтрализация ввода во время создания веб-страницы (XSS, межсайтовый скриптинг) 45.54 4 0 3 CWE-89 Некорректная нейтрализация специальных элементов, используемых в командах SQL (SQL-инъекция) 34.27 6 0 4 CWE-416 Use After Free 16.71 44 3 5 CWE-78 Некорректная нейтрализация специальных элементов, используемых в командах ОС (инъекция команд) 15.65 23 1 6 CWE-20 Некорректная проверка ввода 15.50 35 -2 7 CWE-125 Out-of-bounds чтение 14.60 2 -2 8 CWE-22 Обход каталога (Path Traversal) 14.11 16 0 9 CWE-352 Подделка межсайтовых запросов (CSRF) 11.73 0 0 10 CWE-434 Неограниченная загрузка файлов опасного типа 10.41 5 0 11 CWE-862 Отсутствие авторизации 6.90 0 5 12 CWE-476 Разыменование нулевого указателя 6.59 0 -1 13 CWE-287 Некорректная аутентификация 6.39 10 1 14 CWE-190 Целочисленное переполнение или перенос 5.89 4 -1 15 CWE-502 Десериализация недоверенных данных 5.56 14 -3 16 CWE-77 Некорректная нейтрализация специальных элементов, используемых в командах (инъекция команд) 4.95 4 1 17 CWE-119 Некорректное ограничение операций в пределах буфера памяти 4.75 7 2 18 CWE-798 Использование жестко закодированных учетных данных 4.57 2 -3 19 CWE-918 Подделка запросов на стороне сервера (SSRF) 4.56 16 2 20 CWE-306 Отсутствие аутентификации для критической функции 3.78 8 -2 21 CWE-362 Провоцирование состояния гонки 3.53 8 1 22 CWE-269 Некорректное управление привилегиями 3.31 5 7 23 CWE-94 Некорректный контроль над генерацией кода (инъекции кода) 3.30 6 2 24 CWE-863 Некорректная авторизация 3.16 0 4 25 CWE-276 Неверные разрешения по умолчанию 3.16 0 -5