A organização MITRE publicou sua lista atualizada das 25 principais vulnerabilidades de software, baseada na análise de 31.770 CVEs entre junho de 2023 e junho de 2024. Essas vulnerabilidades incluem problemas críticos que permitem controle de sistemas, roubo de dados e ataques de negação de serviço. A lista é construída com base nas vulnerabilidades do catálogo CISA Known Exploitable Vulnerabilities (KEV), destacando falhas como script entre sites (CWE-79), gravação fora dos limites (CWE-787) e injeção de SQL (CWE-89).
Leia também
Falta de energia poderá retardar avanço da I.A.
Valor da Nvidia já supera o do PIB do Brasil
Os problemas mais frequentes estão ligados a erros de código, arquitetura e design, muitas vezes simples de localizar e explorar. A CISA enfatizou que lidar com essas falhas durante o desenvolvimento de software é crucial para prevenir ataques futuros. Vulnerabilidades conhecidas, mas não corrigidas, como os ataques de dia zero, continuam a ser uma preocupação significativa, segundo um relatório recente das agências da aliança Five Eyes.
A eliminação de fraquezas, como uso de senhas padrão, autenticação inadequada e execução de comandos do sistema, é uma prioridade. A CISA recomenda o uso de abordagens “Secure by Design”, que incorporam práticas seguras desde a fase de concepção de sistemas, para minimizar os riscos e criar soluções mais robustas contra ameaças.
Além do foco em correções, o MITRE também destacou a importância de uma abordagem mais estratégica nos investimentos em segurança cibernética. Isso não apenas reduz riscos, mas também aumenta a resiliência contra ataques, em um cenário onde as ameaças continuam a evoluir em complexidade e sofisticação. Esta é a lista das 25 maiores vulnerabilidades de software dos últimos 12 meses:
- Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)
CWE-79CVEs in KEV: 3Rank Last Year: 2 (up 1) - Out-of-bounds Write
CWE-787CVEs in KEV: 18Rank Last Year: 1 (down 1) - Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)
CWE-89CVEs in KEV: 4Rank Last Year: 3 - Cross-Site Request Forgery (CSRF)
CWE-352CVEs in KEV: 0Rank Last Year: 9 (up 5) - Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)
CWE-22CVEs in KEV: 4Rank Last Year: 8 (up 3) - Out-of-bounds Read
CWE-125CVEs in KEV: 3Rank Last Year: 7 (up 1) - Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)
CWE-78CVEs in KEV: 5Rank Last Year: 5 (down 2) - Use After Free
CWE-416CVEs in KEV: 5Rank Last Year: 4 (down 4) - Missing Authorization
CWE-862CVEs in KEV: 0Rank Last Year: 11 (up 2) - Unrestricted Upload of File with Dangerous Type
CWE-434CVEs in KEV: 0Rank Last Year: 10 - Improper Control of Generation of Code (‘Code Injection’)
CWE-94CVEs in KEV: 7Rank Last Year: 23 (up 12) - Improper Input Validation
CWE-20CVEs in KEV: 1Rank Last Year: 6 (down 6) - Improper Neutralization of Special Elements used in a Command (‘Command Injection’)
CWE-77CVEs in KEV: 4Rank Last Year: 16 (up 3) - Improper Authentication
CWE-287CVEs in KEV: 4Rank Last Year: 13 (down 1) - Improper Privilege Management
CWE-269CVEs in KEV: 0Rank Last Year: 22 (up 7) - Deserialization of Untrusted Data
CWE-502CVEs in KEV: 5Rank Last Year: 15 (down 1) - Exposure of Sensitive Information to an Unauthorized Actor
CWE-200CVEs in KEV: 0Rank Last Year: 30 (up 13) - Incorrect Authorization
CWE-863CVEs in KEV: 2Rank Last Year: 24 (up 6) - Server-Side Request Forgery (SSRF)
CWE-918CVEs in KEV: 2Rank Last Year: 19 - Improper Restriction of Operations within the Bounds of a Memory Buffer
CWE-119CVEs in KEV: 2Rank Last Year: 17 (down 3) - NULL Pointer Dereference
CWE-476CVEs in KEV: 0Rank Last Year: 12 (down 9) - Use of Hard-coded Credentials
CWE-798CVEs in KEV: 2Rank Last Year: 18 (down 4) - Integer Overflow or Wraparound
CWE-190CVEs in KEV: 3Rank Last Year: 14 (down 9) - Uncontrolled Resource Consumption
CWE-400CVEs in KEV: 0Rank Last Year: 37 (up 13) - Missing Authentication for Critical Function
CWE-306CVEs in KEV: 5Rank Last Year: 20 (down 5)