Специалисты организации MITRE опубликовали список 25 наиболее распространенных и опасных проблем этого года. Такие баги потенциально могут подвергать системы риску атак, могут позволить злоумышленникам получить контроль над уязвимыми устройствами, доступ к конфиденциальной информации или спровоцировать отказ в обслуживании.

На этот раз список был составлен при поддержке Института проектирования и разработки систем национальной безопасности и Агентства кибербезопасности и безопасности инфраструктуры (CISA). Интересно, что еще несколько лет назад список строился на основании опросов и личных интервью с разработчиками, ведущими аналитиками безопасности, исследователями и вендорами.

Проблемы в списке имеют собственные идентификаторы CWE (не путать с CVE) — Common Weakness Enumeration. CWE отличаются от CVE тем, что, по сути, первые являются предшественниками вторых, то есть CWE приводят к появлению непосредственно уязвимостей.

CWE делятся более чем на 600 категорий, которые объединяют в себе весьма обширные классы разнообразных проблем, например, CWE-20 (некорректная проверка вводимых данных), CWE- 200 (раскрытие информации) и CWE-287 (некорректная аутентификация).

В MITRE сообщают, что набор данных, использованный при составления нового топа, содержал в общей сложности 37 899 CVE-идентификаторов за два прошлых календарных года. Также на этот раз немного изменилась методология расчетов: список основан на информации из базы NVD (National Vulnerability Database) и «Каталога известных эксплуатируемых уязвимостей» (Known Exploited Vulnerabilities, KEV), который с 2021 года начала составлять CISA. В настоящее время KEV содержит информацию о 800 известных уязвимостях, использованных в атаках.

К наиболее опасным ошибкам в MITRE по-прежнему относят проблемы, которые легко обнаружить, они оказывают сильное влияние и широко распространены в программном обеспечении, выпущенном в последние два года.

Топ-25 обозначенных специалистами MITRE проблем можно увидеть в таблице ниже.

Место ID Проблема Оценка Количество KEV (CVE) Изменение по сравнению с 2021 годом
1 CWE-787 Out-of-bounds запись 64,20 62 0
2 CWE-79 Некорректная нейтрализация ввода во время создания веб-страницы (межсайтовый скриптинг») 45,97 2 0
3 CWE-89 Некорректная нейтрализация специальных элементов, используемых в командах SQL (SQL-инъекция) 22.11 7 +3
4 CWE-20 Некорректная проверка ввода 20,63 20 0
5 CWE-125 Out-of-bounds чтение 17,67 1 -2
6 CWE-78 Некорректная нейтрализация специальных элементов, используемых в командах ОС (инъекция команд) 17.53 32 -1
7 CWE-416 Use After Free 15.50 28 0
8 CWE-22 Обход каталога (Path Traversal) 14.08 19 0
9 CWE-352 Подделка межсайтовых запросов (CSRF) 11.53 1 0
10 CWE-434 Неограниченная загрузка файлов опасного типа 9,56 6 0
11 CWE-476 Разыменование нулевого указателя 7.15 0 +4
12 CWE-502 Десериализация недоверенных данных 6,68 7 +1
13 CWE-190 Целочисленное переполнение или перенос 6,53 2 -1
14 CWE-287 Некорректная аутентификация 6,35 4 0
15 CWE-798 Использование жестко закодированных учетных данных 5,66 0 +1
16 CWE-862 Отсутствие авторизации 5,53 1 +2
17 CWE-77 Некорректная нейтрализация специальных элементов, используемых в командах (инъекция команд) 5.42 5 +8
18 CWE-306 Отсутствие аутентификации для критической функции 5.15 6 -7
19 CWE-119 Некорректное ограничение операций в пределах буфера памяти 4,85 6 -2
20 CWE-276 Неверные разрешения по умолчанию 4,84 0 -1
21 CWE-918 Подделка запросов на стороне сервера (SSRF) 4,27 8 +3
22 CWE-362 Состояние гонки 3,57 6 +11
23 CWE-400 Неконтролируемое потребление ресурсов 3,56 2 +4
24 CWE-611 Некорректное ограничение ссылок на внешние XML 3,38 0 -1
25 CWE-94 Некорректный контроль над генерацией кода (инъекции кода) 3,32 4 +3

 

По сравнению с топом 2021 года из списка пропали три типа уязвимостей: раскрытие конфиденциальной информации неавторизованному субъекту (упало на 33 место), недостаточная защита учетных данных (теперь на 38 месте) и неправильное назначение разрешений для критически важных ресурсов (30 место).

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии