Эксперты MITRE традиционно представили список 25 самых распространенных и опасных уязвимостей в программном обеспечении. В этом году для его создания использовали 31 000 уязвимостей, раскрытых в период с июня 2023 по июнь 2024 года.

Под уязвимостями в ПО подразумеваются самые разные проблемы, баги, уязвимости и ошибки, обнаруженные в коде, архитектуре, имплементациях или дизайне софта. Такие угрозы могут поставить под угрозу безопасность систем, где установлено и работает проблемное ПО. Они могут стать точкой входа для злоумышленников, пытающихся получить контроль над уязвимыми устройствами, помогут атакующим получить доступ к конфиденциальным данным или спровоцировать отказ в обслуживании.

«Зачастую [такие угрозы] легко обнаружить и эксплуатировать, и они могут привести к уязвимостям, которые позволят злоумышленникам полностью захватить систему, украсть данные или помешать работе приложений», — пишут специалисты MITRE и добавляют, что обнаружение первопричин таких угроз приносит пользу как индустрии, так и властям.

Для составления рейтинга 2024 года MITRE проанализировала 31 770 различных CVE, найденных в 2023 и 2024 годах, уделяя особое внимание проблемам, которые были добавлены в каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV), которым управляет Агентство по кибербезопасности и защите инфраструктуры США (CISA).

Отметим, что проблемы в списке MITRE имеют собственные идентификаторы CWE (не путать с CVE) — Common Weakness Enumeration. CWE отличаются от CVE тем, что, по сути, первые являются предшественниками вторых, то есть CWE приводят к появлению непосредственно уязвимостей.

В 2024 году для CWE насчитывается почти 1000 разных категорий, которые объединяют в себе весьма обширные классы разнообразных проблем, например, CWE-20 (некорректная проверка вводимых данных), CWE- 200 (раскрытие информации) и CWE-287 (некорректная аутентификация).

«В этом ежегодном списке перечислены наиболее важные слабые места в программном обеспечении, которые атакующие часто используют для взлома систем, кражи конфиденциальных данных или нарушения работы важнейших служб, — в свою очередь добавляют представители CISA. — Организациям настоятельно рекомендуется ознакомиться с этим списком и использовать его при формировании своих стратегий безопасности ПО».

Список топ-25 CWE 2024 года, составленный специалистами MITRE, выглядит следующим образом:

Место ID Проблема Оценка Количество KEV (CVE) По сравнению с 2023 годом
1 CWE-79 Некорректная нейтрализация ввода во время генерации веб-страницы (XSS, межсайтовый скриптинг) 56.92 3 +1
2 CWE-787 Out-of-bounds запись 45.20 18 -1
3 CWE-89 SQL-инъекция 35.88 4 0
4 CWE-352 Подделка межсайтовых запросов (CSRF) 19.57 0 +5
5 CWE-22 Обход каталога (Path Traversal) 12.74 4 +3
6 CWE-125 Out-of-bounds чтение 11.42 3 +1
7 CWE-78 Инъекция команд на уровне ОС 11.30 5 -2
8 CWE-416 Use After Free 10.19 5 -4
9 CWE-862 Отсутствие аутентификации 10.11 0 +2
10 CWE-434 Неограниченная загрузка файлов опасного типа 10.03 0 0
11 CWE-94 Инъекция кода 7.13 7 +12
12 CWE-20 Некорректная проверка ввода 6.78 1 -6
13 CWE-77 Инъекция команд 6.74 4 +3
14 CWE-287 Некорректная аутентификация 5.94 4 -1
15 CWE-269 Некорректное управление привилегиями 5.22 0 +7
16 CWE-502 Десериализация недоверенных данных 5.07 5 -1
17 CWE-200 Раскрытие чувствительных данных неавторизованному лицу 5.07 0 +13
18 CWE-863 Некорректная авторизация 4.05 2 +6
19 CWE-918 Подделка запросов на стороне сервера (SSRF) 4.05 2 0
20 CWE-119 Некорректное ограничение операций в пределах буфера памяти 3.69 2 -3
21 CWE-476 Разыменование нулевого указателя 3.58 0 -9
22 CWE-798 Использование жестко закодированных учетных данных 3.46 2 -4
23 CWE-190 Целочисленное переполнение или перенос 3.37 3 -9
24 CWE-400 Неконтролируемое потребление ресурсов 3.23 0 +13
25 CWE-306 Отсутствие аутентификации для критической функции 2.73 5 -5

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии