[ Tráfego 15/Out a 13/Nov: 360.697 page views, 136.428 usuários ] - [ Newsletter, 5.540 assinantes Open rate 27%]

MITRE lança lista dos 25 bugs de software mais perigosos

Da Redação
30/06/2023

O MITRE ATT&CK, framework de referência para a identificação e documentação de técnicas utilizadas em ataques cibernéticos, compartilhou a lista deste ano das 25 principais vulnerabilidades mais perigosas que afetaram softwares durante os dois anos anteriores.

Os pontos fracos de softwares abrangem uma ampla gama de problemas, incluindo falhas, bugs, vulnerabilidades e erros de código, arquitetura, implementação ou design das soluções. 

A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA salienta que esse pontos fracos podem colocar em risco a segurança dos sistemas nos quais o software está instalado e em execução, além de fornecer um ponto de entrada para criminosos cibernéticos que tentam obter controle de dispositivos, acessar dados confidenciais ou acionar ataques distribuídos de negação de serviço (DDoS). “Essas fraquezas levam a sérias vulnerabilidades no software. Um invasor pode muitas vezes explorar essas vulnerabilidades para assumir o controle de um sistema afetado, roubar dados ou impedir que os aplicativos funcionem”, alerta.

Para criar a lista, o MITRE pontuou cada “fraqueza” com base em sua gravidade e predominância, após analisar 43.996 entradas CVE (cadastro de ameaças e vulnerabilidades de softwares) do Banco de Dados Nacional de Vulnerabilidades (NVD) do NIST — agência do governo americano que define padrões  — para vulnerabilidades descobertas e relatadas em 2021 e 2022, e um foco nos registros CVE adicionados às vulnerabilidades exploradas conhecidas da CISA.

“Após o processo de coleta, escopo e remapeamento, uma fórmula de pontuação foi usada para calcular uma ordem de classificação dos pontos fracos que combina a frequência (o número de vezes que um CWE é a causa raiz de uma vulnerabilidade) com a gravidade média de cada dessas vulnerabilidades quando são exploradas (conforme medido pela pontuação CVSS)”, disse o MITRE. “Em ambos os casos, a frequência e a gravidade são normalizadas em relação aos valores mínimo e máximo observados no conjunto de dados.”

As 25 principais fraquezas do MITRE em 2023 são perigosas devido ao seu impacto significativo e ocorrência generalizada em software lançado nos últimos dois anos. Uma exploração bem-sucedida pode permitir que os invasores assumam o controle total dos sistemas visados, coletem e exfiltrem dados confidenciais ou acionem uma negação de serviço (DDoS).

Ao compartilhar a lista, o MITRE fornece à comunidade informações valiosas sobre os pontos fracos de segurança de software mais críticos que requerem atenção imediata.

Em um esforço colaborativo envolvendo autoridades de segurança cibernética de todo o mundo, uma compilação abrangente das 15 principais vulnerabilidades comumente exploradas em ataques ao longo de 2021 foi lançada em abril de 2022. Esse esforço conjunto envolveu organizações como a Agência de Segurança Nacional (NSA) e o FBI.

Além disso, um inventário de bugs explorados rotineiramente em 2020 foi divulgado pela CISA e pelo FBI em conjunto com o Australian Cyber Security Center (ACSC) e o National Cyber Security Centre (NCSC) do Reino Unido. A CISA e o FBI também compartilharam um catálogo com as dez principais falhas de segurança exploradas com mais frequência entre 2016 e 2019.

Por fim, o MITRE também oferece uma lista descrevendo as falhas de segurança de programação, design e arquitetura mais perigosas que afetam os sistemas de hardware.

Veja isso
Mitre Engenuity publica testes de 20 soluções de cyber
MITRE publica base de conhecimento de sistemas industriais

“A CISA incentiva os desenvolvedores e as equipes de resposta de segurança de produto a revisar o CWE Top 25 e avaliar as mitigações recomendadas para determinar as mais adequadas a serem adotadas”, acrescentou a agência. “Nas próximas semanas, o programa CWE publicará uma série de outros artigos sobre a metodologia CWE Top 25, tendências de mapeamento de vulnerabilidades e outras informações úteis que ajudam a ilustrar como o gerenciamento de vulnerabilidades desempenha um papel importante na mudança do equilíbrio do risco de segurança cibernética.”

Confira, a seguir, a lista das 25 principais fraquezas do MITRE em 2023

  1.  Out-of-bounds Write 
    CWE-787CVEs in KEV: 70Rank Last Year: 1
     
  2.  Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)
    CWE-79CVEs in KEV: 4Rank Last Year: 2
     
  3.  Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)
    CWE-89CVEs in KEV: 6Rank Last Year: 3
     
  4.  Use After Free 
    CWE-416CVEs in KEV: 44Rank Last Year: 7 (up 3) upward trend
  5.  Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)
    CWE-78CVEs in KEV: 23Rank Last Year: 6 (up 1) upward trend
  6.  Improper Input Validation 
    CWE-20CVEs in KEV: 35Rank Last Year: 4 (down 2) downward trend
  7.  Out-of-bounds Read 
    CWE-125CVEs in KEV: 2Rank Last Year: 5 (down 2) downward trend
  8.  Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)
    CWE-22CVEs in KEV: 16Rank Last Year: 8 
  9.  Cross-Site Request Forgery (CSRF) 
    CWE-352CVEs in KEV: 0Rank Last Year: 9
     
  10.  Unrestricted Upload of File with Dangerous Type
    CWE-434CVEs in KEV: 5Rank Last Year: 10
     
  11.  Missing Authorization 
    CWE-862CVEs in KEV: 0Rank Last Year: 16 (up 5) upward trend
  12.  NULL Pointer Dereference 
    CWE-476CVEs in KEV: 0Rank Last Year: 11 (down 1) downward trend
  13.  Improper Authentication 
    CWE-287CVEs in KEV: 10Rank Last Year: 14 (up 1) upward trend
  14.  Integer Overflow or Wraparound 
    CWE-190CVEs in KEV: 4Rank Last Year: 13 (down 1) downward trend
  15.  Deserialization of Untrusted Data 
    CWE-502CVEs in KEV: 14Rank Last Year: 12 (down 3) downward trend
  16.  Improper Neutralization of Special Elements used in a Command (‘Command Injection’)
    CWE-77CVEs in KEV: 4Rank Last Year: 17 (up 1) upward trend
  17.  Improper Restriction of Operations within the Bounds of a Memory Buffer
    CWE-119CVEs in KEV: 7Rank Last Year: 19 (up 2) upward trend
  18.  Use of Hard-coded Credentials 
    CWE-798CVEs in KEV: 2Rank Last Year: 15 (down 3) downward trend
  19.  Server-Side Request Forgery (SSRF) 
    CWE-918CVEs in KEV: 16Rank Last Year: 21 (up 2) upward trend
  20.  Missing Authentication for Critical Function 
    CWE-306CVEs in KEV: 8Rank Last Year: 18 (down 2) downward trend
  21.  Concurrent Execution using Shared Resource with Improper Synchronization (‘Race Condition’)
    CWE-362CVEs in KEV: 8Rank Last Year: 22 (up 1) upward trend
  22.  Improper Privilege Management 
    CWE-269CVEs in KEV: 5Rank Last Year: 29 (up 7) upward trend
  23.  Improper Control of Generation of Code (‘Code Injection’)
    CWE-94CVEs in KEV: 6Rank Last Year: 25 (up 2) upward trend
  24.  Incorrect Authorization 
    CWE-863CVEs in KEV: 0Rank Last Year: 28 (up 4) upward trend
  25.  Incorrect Default Permissions 
    CWE-276CVEs in KEV: 0Rank Last Year: 20 (down 5

Compartilhar: