Эксперты MITRE традиционно представили список 25 самых распространенных и опасных уязвимостей в программном обеспечении. В этом году для его создания использовали 31 000 уязвимостей, раскрытых в период с июня 2023 по июнь 2024 года.
Под уязвимостями в ПО подразумеваются самые разные проблемы, баги, уязвимости и ошибки, обнаруженные в коде, архитектуре, имплементациях или дизайне софта. Такие угрозы могут поставить под угрозу безопасность систем, где установлено и работает проблемное ПО. Они могут стать точкой входа для злоумышленников, пытающихся получить контроль над уязвимыми устройствами, помогут атакующим получить доступ к конфиденциальным данным или спровоцировать отказ в обслуживании.
«Зачастую [такие угрозы] легко обнаружить и эксплуатировать, и они могут привести к уязвимостям, которые позволят злоумышленникам полностью захватить систему, украсть данные или помешать работе приложений», — пишут специалисты MITRE и добавляют, что обнаружение первопричин таких угроз приносит пользу как индустрии, так и властям.
Для составления рейтинга 2024 года MITRE проанализировала 31 770 различных CVE, найденных в 2023 и 2024 годах, уделяя особое внимание проблемам, которые были добавлены в каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV), которым управляет Агентство по кибербезопасности и защите инфраструктуры США (CISA).
Отметим, что проблемы в списке MITRE имеют собственные идентификаторы CWE (не путать с CVE) — Common Weakness Enumeration. CWE отличаются от CVE тем, что, по сути, первые являются предшественниками вторых, то есть CWE приводят к появлению непосредственно уязвимостей.
В 2024 году для CWE насчитывается почти 1000 разных категорий, которые объединяют в себе весьма обширные классы разнообразных проблем, например, CWE-20 (некорректная проверка вводимых данных), CWE- 200 (раскрытие информации) и CWE-287 (некорректная аутентификация).
«В этом ежегодном списке перечислены наиболее важные слабые места в программном обеспечении, которые атакующие часто используют для взлома систем, кражи конфиденциальных данных или нарушения работы важнейших служб, — в свою очередь добавляют представители CISA. — Организациям настоятельно рекомендуется ознакомиться с этим списком и использовать его при формировании своих стратегий безопасности ПО».
Список топ-25 CWE 2024 года, составленный специалистами MITRE, выглядит следующим образом:
Место | ID | Проблема | Оценка | Количество KEV (CVE) | По сравнению с 2023 годом |
1 | CWE-79 | Некорректная нейтрализация ввода во время генерации веб-страницы (XSS, межсайтовый скриптинг) | 56.92 | 3 | +1 |
2 | CWE-787 | Out-of-bounds запись | 45.20 | 18 | -1 |
3 | CWE-89 | SQL-инъекция | 35.88 | 4 | 0 |
4 | CWE-352 | Подделка межсайтовых запросов (CSRF) | 19.57 | 0 | +5 |
5 | CWE-22 | Обход каталога (Path Traversal) | 12.74 | 4 | +3 |
6 | CWE-125 | Out-of-bounds чтение | 11.42 | 3 | +1 |
7 | CWE-78 | Инъекция команд на уровне ОС | 11.30 | 5 | -2 |
8 | CWE-416 | Use After Free | 10.19 | 5 | -4 |
9 | CWE-862 | Отсутствие аутентификации | 10.11 | 0 | +2 |
10 | CWE-434 | Неограниченная загрузка файлов опасного типа | 10.03 | 0 | 0 |
11 | CWE-94 | Инъекция кода | 7.13 | 7 | +12 |
12 | CWE-20 | Некорректная проверка ввода | 6.78 | 1 | -6 |
13 | CWE-77 | Инъекция команд | 6.74 | 4 | +3 |
14 | CWE-287 | Некорректная аутентификация | 5.94 | 4 | -1 |
15 | CWE-269 | Некорректное управление привилегиями | 5.22 | 0 | +7 |
16 | CWE-502 | Десериализация недоверенных данных | 5.07 | 5 | -1 |
17 | CWE-200 | Раскрытие чувствительных данных неавторизованному лицу | 5.07 | 0 | +13 |
18 | CWE-863 | Некорректная авторизация | 4.05 | 2 | +6 |
19 | CWE-918 | Подделка запросов на стороне сервера (SSRF) | 4.05 | 2 | 0 |
20 | CWE-119 | Некорректное ограничение операций в пределах буфера памяти | 3.69 | 2 | -3 |
21 | CWE-476 | Разыменование нулевого указателя | 3.58 | 0 | -9 |
22 | CWE-798 | Использование жестко закодированных учетных данных | 3.46 | 2 | -4 |
23 | CWE-190 | Целочисленное переполнение или перенос | 3.37 | 3 | -9 |
24 | CWE-400 | Неконтролируемое потребление ресурсов | 3.23 | 0 | +13 |
25 | CWE-306 | Отсутствие аутентификации для критической функции | 2.73 | 5 | -5 |