Специалисты организации MITRE опубликовали список 25 наиболее распространенных и опасных проблем этого года. Такие баги потенциально могут подвергать системы риску атак, могут позволить злоумышленникам получить контроль над уязвимыми устройствами, доступ к конфиденциальной информации или спровоцировать отказ в обслуживании.
На этот раз список был составлен при поддержке Института проектирования и разработки систем национальной безопасности и Агентства кибербезопасности и безопасности инфраструктуры (CISA). Интересно, что еще несколько лет назад список строился на основании опросов и личных интервью с разработчиками, ведущими аналитиками безопасности, исследователями и вендорами.
Проблемы в списке имеют собственные идентификаторы CWE (не путать с CVE) — Common Weakness Enumeration. CWE отличаются от CVE тем, что, по сути, первые являются предшественниками вторых, то есть CWE приводят к появлению непосредственно уязвимостей.
CWE делятся более чем на 600 категорий, которые объединяют в себе весьма обширные классы разнообразных проблем, например, CWE-20 (некорректная проверка вводимых данных), CWE- 200 (раскрытие информации) и CWE-287 (некорректная аутентификация).
В MITRE сообщают, что набор данных, использованный при составления нового топа, содержал в общей сложности 37 899 CVE-идентификаторов за два прошлых календарных года. Также на этот раз немного изменилась методология расчетов: список основан на информации из базы NVD (National Vulnerability Database) и «Каталога известных эксплуатируемых уязвимостей» (Known Exploited Vulnerabilities, KEV), который с 2021 года начала составлять CISA. В настоящее время KEV содержит информацию о 800 известных уязвимостях, использованных в атаках.
К наиболее опасным ошибкам в MITRE по-прежнему относят проблемы, которые легко обнаружить, они оказывают сильное влияние и широко распространены в программном обеспечении, выпущенном в последние два года.
Топ-25 обозначенных специалистами MITRE проблем можно увидеть в таблице ниже.
Место | ID | Проблема | Оценка | Количество KEV (CVE) | Изменение по сравнению с 2021 годом |
1 | CWE-787 | Out-of-bounds запись | 64,20 | 62 | 0 |
2 | CWE-79 | Некорректная нейтрализация ввода во время создания веб-страницы (межсайтовый скриптинг») | 45,97 | 2 | 0 |
3 | CWE-89 | Некорректная нейтрализация специальных элементов, используемых в командах SQL (SQL-инъекция) | 22.11 | 7 | +3 |
4 | CWE-20 | Некорректная проверка ввода | 20,63 | 20 | 0 |
5 | CWE-125 | Out-of-bounds чтение | 17,67 | 1 | -2 |
6 | CWE-78 | Некорректная нейтрализация специальных элементов, используемых в командах ОС (инъекция команд) | 17.53 | 32 | -1 |
7 | CWE-416 | Use After Free | 15.50 | 28 | 0 |
8 | CWE-22 | Обход каталога (Path Traversal) | 14.08 | 19 | 0 |
9 | CWE-352 | Подделка межсайтовых запросов (CSRF) | 11.53 | 1 | 0 |
10 | CWE-434 | Неограниченная загрузка файлов опасного типа | 9,56 | 6 | 0 |
11 | CWE-476 | Разыменование нулевого указателя | 7.15 | 0 | +4 |
12 | CWE-502 | Десериализация недоверенных данных | 6,68 | 7 | +1 |
13 | CWE-190 | Целочисленное переполнение или перенос | 6,53 | 2 | -1 |
14 | CWE-287 | Некорректная аутентификация | 6,35 | 4 | 0 |
15 | CWE-798 | Использование жестко закодированных учетных данных | 5,66 | 0 | +1 |
16 | CWE-862 | Отсутствие авторизации | 5,53 | 1 | +2 |
17 | CWE-77 | Некорректная нейтрализация специальных элементов, используемых в командах (инъекция команд) | 5.42 | 5 | +8 |
18 | CWE-306 | Отсутствие аутентификации для критической функции | 5.15 | 6 | -7 |
19 | CWE-119 | Некорректное ограничение операций в пределах буфера памяти | 4,85 | 6 | -2 |
20 | CWE-276 | Неверные разрешения по умолчанию | 4,84 | 0 | -1 |
21 | CWE-918 | Подделка запросов на стороне сервера (SSRF) | 4,27 | 8 | +3 |
22 | CWE-362 | Состояние гонки | 3,57 | 6 | +11 |
23 | CWE-400 | Неконтролируемое потребление ресурсов | 3,56 | 2 | +4 |
24 | CWE-611 | Некорректное ограничение ссылок на внешние XML | 3,38 | 0 | -1 |
25 | CWE-94 | Некорректный контроль над генерацией кода (инъекции кода) | 3,32 | 4 | +3 |
По сравнению с топом 2021 года из списка пропали три типа уязвимостей: раскрытие конфиденциальной информации неавторизованному субъекту (упало на 33 место), недостаточная защита учетных данных (теперь на 38 месте) и неправильное назначение разрешений для критически важных ресурсов (30 место).