O MITRE ATT&CK, framework de referência para a identificação e documentação de técnicas utilizadas em ataques cibernéticos, compartilhou a lista deste ano das 25 principais vulnerabilidades mais perigosas que afetaram softwares durante os dois anos anteriores.
Os pontos fracos de softwares abrangem uma ampla gama de problemas, incluindo falhas, bugs, vulnerabilidades e erros de código, arquitetura, implementação ou design das soluções.
A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA salienta que esse pontos fracos podem colocar em risco a segurança dos sistemas nos quais o software está instalado e em execução, além de fornecer um ponto de entrada para criminosos cibernéticos que tentam obter controle de dispositivos, acessar dados confidenciais ou acionar ataques distribuídos de negação de serviço (DDoS). “Essas fraquezas levam a sérias vulnerabilidades no software. Um invasor pode muitas vezes explorar essas vulnerabilidades para assumir o controle de um sistema afetado, roubar dados ou impedir que os aplicativos funcionem”, alerta.
Para criar a lista, o MITRE pontuou cada “fraqueza” com base em sua gravidade e predominância, após analisar 43.996 entradas CVE (cadastro de ameaças e vulnerabilidades de softwares) do Banco de Dados Nacional de Vulnerabilidades (NVD) do NIST — agência do governo americano que define padrões — para vulnerabilidades descobertas e relatadas em 2021 e 2022, e um foco nos registros CVE adicionados às vulnerabilidades exploradas conhecidas da CISA.
“Após o processo de coleta, escopo e remapeamento, uma fórmula de pontuação foi usada para calcular uma ordem de classificação dos pontos fracos que combina a frequência (o número de vezes que um CWE é a causa raiz de uma vulnerabilidade) com a gravidade média de cada dessas vulnerabilidades quando são exploradas (conforme medido pela pontuação CVSS)”, disse o MITRE. “Em ambos os casos, a frequência e a gravidade são normalizadas em relação aos valores mínimo e máximo observados no conjunto de dados.”
As 25 principais fraquezas do MITRE em 2023 são perigosas devido ao seu impacto significativo e ocorrência generalizada em software lançado nos últimos dois anos. Uma exploração bem-sucedida pode permitir que os invasores assumam o controle total dos sistemas visados, coletem e exfiltrem dados confidenciais ou acionem uma negação de serviço (DDoS).
Ao compartilhar a lista, o MITRE fornece à comunidade informações valiosas sobre os pontos fracos de segurança de software mais críticos que requerem atenção imediata.
Em um esforço colaborativo envolvendo autoridades de segurança cibernética de todo o mundo, uma compilação abrangente das 15 principais vulnerabilidades comumente exploradas em ataques ao longo de 2021 foi lançada em abril de 2022. Esse esforço conjunto envolveu organizações como a Agência de Segurança Nacional (NSA) e o FBI.
Além disso, um inventário de bugs explorados rotineiramente em 2020 foi divulgado pela CISA e pelo FBI em conjunto com o Australian Cyber Security Center (ACSC) e o National Cyber Security Centre (NCSC) do Reino Unido. A CISA e o FBI também compartilharam um catálogo com as dez principais falhas de segurança exploradas com mais frequência entre 2016 e 2019.
Por fim, o MITRE também oferece uma lista descrevendo as falhas de segurança de programação, design e arquitetura mais perigosas que afetam os sistemas de hardware.
Veja isso
Mitre Engenuity publica testes de 20 soluções de cyber
MITRE publica base de conhecimento de sistemas industriais
“A CISA incentiva os desenvolvedores e as equipes de resposta de segurança de produto a revisar o CWE Top 25 e avaliar as mitigações recomendadas para determinar as mais adequadas a serem adotadas”, acrescentou a agência. “Nas próximas semanas, o programa CWE publicará uma série de outros artigos sobre a metodologia CWE Top 25, tendências de mapeamento de vulnerabilidades e outras informações úteis que ajudam a ilustrar como o gerenciamento de vulnerabilidades desempenha um papel importante na mudança do equilíbrio do risco de segurança cibernética.”
Confira, a seguir, a lista das 25 principais fraquezas do MITRE em 2023
- Out-of-bounds Write
CWE-787CVEs in KEV: 70Rank Last Year: 1
- Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)
CWE-79CVEs in KEV: 4Rank Last Year: 2
- Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)
CWE-89CVEs in KEV: 6Rank Last Year: 3
- Use After Free
CWE-416CVEs in KEV: 44Rank Last Year: 7 (up 3) - Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)
CWE-78CVEs in KEV: 23Rank Last Year: 6 (up 1) - Improper Input Validation
CWE-20CVEs in KEV: 35Rank Last Year: 4 (down 2) - Out-of-bounds Read
CWE-125CVEs in KEV: 2Rank Last Year: 5 (down 2) - Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)
CWE-22CVEs in KEV: 16Rank Last Year: 8 - Cross-Site Request Forgery (CSRF)
CWE-352CVEs in KEV: 0Rank Last Year: 9
- Unrestricted Upload of File with Dangerous Type
CWE-434CVEs in KEV: 5Rank Last Year: 10
- Missing Authorization
CWE-862CVEs in KEV: 0Rank Last Year: 16 (up 5) - NULL Pointer Dereference
CWE-476CVEs in KEV: 0Rank Last Year: 11 (down 1) - Improper Authentication
CWE-287CVEs in KEV: 10Rank Last Year: 14 (up 1) - Integer Overflow or Wraparound
CWE-190CVEs in KEV: 4Rank Last Year: 13 (down 1) - Deserialization of Untrusted Data
CWE-502CVEs in KEV: 14Rank Last Year: 12 (down 3) - Improper Neutralization of Special Elements used in a Command (‘Command Injection’)
CWE-77CVEs in KEV: 4Rank Last Year: 17 (up 1) - Improper Restriction of Operations within the Bounds of a Memory Buffer
CWE-119CVEs in KEV: 7Rank Last Year: 19 (up 2) - Use of Hard-coded Credentials
CWE-798CVEs in KEV: 2Rank Last Year: 15 (down 3) - Server-Side Request Forgery (SSRF)
CWE-918CVEs in KEV: 16Rank Last Year: 21 (up 2) - Missing Authentication for Critical Function
CWE-306CVEs in KEV: 8Rank Last Year: 18 (down 2) - Concurrent Execution using Shared Resource with Improper Synchronization (‘Race Condition’)
CWE-362CVEs in KEV: 8Rank Last Year: 22 (up 1) - Improper Privilege Management
CWE-269CVEs in KEV: 5Rank Last Year: 29 (up 7) - Improper Control of Generation of Code (‘Code Injection’)
CWE-94CVEs in KEV: 6Rank Last Year: 25 (up 2) - Incorrect Authorization
CWE-863CVEs in KEV: 0Rank Last Year: 28 (up 4) - Incorrect Default Permissions
CWE-276CVEs in KEV: 0Rank Last Year: 20 (down 5