MITRE a lansat lista sa anuală a "celor mai periculoase slăbiciuni de software" pentru anul 2023.
Aceste slăbiciuni conduc la vulnerabilități grave în software. Un atacator poate exploata adesea aceste vulnerabilități pentru a prelua controlul unui sistem afectat, a fura date sau a împiedica funcționarea aplicațiilor.
Metodologia MITRE
Lista se bazează pe o analiză a datelor de vulnerabilitate publică din Baza Națională de Date a Vulnerabilităților (NVD) pentru identificarea cauzelor radacină ale CWE (Common Weakness Enumeration) pentru ultimii doi ani. Au fost examinate în total 43.996 de intrări CVE și fiecăreia dintre ele i s-a atribuit un scor în funcție de prevalență și severitate.
Cele Mai Periculoase Slăbiciuni
Pe primul loc se află "Out-of-bounds Write” urmată de "Cross-site Scripting", "SQL Injection", "Use After Free", "OS Command Injection", "Improper Input Validation", "Out-of-bounds Read". "Path Traversal", "Cross-Site Request Forgery (CSRF)" și "Unrestricted Upload of File with Dangerous Type." "Out-of-bounds Write" a ocupat, de asemenea, primul loc în 2022.
Aspecte Hardware
Pe lângă software, MITRE întreține, de asemenea, o listă de slăbiciuni hardware importante, cu scopul de a "preveni problemele de securitate hardware la sursă, educând designerii și programatorii cu privire la modul de eliminare a greșelilor importante în stadiile timpurii ale dezvoltării produsului."
Măsuri Recomandate
Această divulgare vine în contextul în care CISA, împreună cu Agenția Națională de Securitate a SUA (NSA), a lansat recomandări și cele mai bune practici pentru organizații pentru a-și întări mediile de Integrare Continuă/Dezvoltare Continuă (CI/CD) împotriva actorilor cibernetici malefici.
Aceste recomandări includ implementarea de algoritmi criptografici puternici la configurarea aplicațiilor cloud, minimizarea utilizării acreditărilor pe termen lung, adăugarea de semnături de cod securizate, utilizarea regulilor a două persoane (2PR) pentru a revizui commit-urile de cod ale dezvoltatorilor, adoptarea principiului celui mai mic privilegiu (PoLP), utilizarea segmentării de rețea și auditarea regulată a conturilor, secretelor și sistemelor.