MITRE publica as 25 top vulnerabilidades de software

Da Redação
29/06/2022

A organização não-governamental MITRE publicou ontem a lista das 25 piores vulnerabilidades entre os quase 38 mil CVEs registrados nos últimos dois anos pelos pesquisadores de cibersegurança do mundo inteiro. Batizada de Common Weakness Enumeration (CWE™) Top 25 Most Dangerous Software Weaknesses (CWE™ Top 25), a lista contém 25 bugs considerados mais perigosos porque são fáceis de descobrir e têm forte impacto nas operações: eles podem levar a vulnerabilidades exploráveis ​​que permitem aos adversários assumir completamente um sistema, roubar dados ou impedir o funcionamento de aplicativos. Existem vulnerabilidades que já estavam na lista de 2021.

Os cinco primeiros bugs da lista são os seguintes:

  • Gravação fora dos limites
  • Neutralização imprópria da entrada durante a geração da página da Web (‘Cross-site Scripting’)
  • Neutralização imprópria de elementos especiais usados ​​em um comando SQL (‘SQL Injection’)
  • Validação de entrada imprópria
  • Leitura fora dos limites

A MITRE acredita que profissionais de software acharão o CWE Top 25 um recurso prático e conveniente para ajudar a mitigar riscos – isso inclui arquitetos de software, designers, desenvolvedores, testadores, usuários, gerentes de projeto, pesquisadores de segurança, educadores e colaboradores de organizações de desenvolvimento de padrões.

Lista das 25 piores vulnerabilidade de software dos dois últimos anos. Clique para ampliar

Para criar a lista, a equipe CWE aproveitou os dados de Vulnerabilidades e exposições comuns (CVE®) encontrados no National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD) e as pontuações do Common Vulnerability Scoring System (CVSS) associadas a cada CVE registro, incluindo um foco em Registros CVE do Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da Agência de Segurança Cibernética e Infraestrutura (CISA) . Uma fórmula foi aplicada aos dados para pontuar cada fraqueza com base na prevalência e gravidade. O conjunto de dados analisado para calcular o Top 25 de 2022 continha um total de 37.899 registros CVE dos dois anos anteriores.

Veja isso
Mitre Engenuity publica testes de 20 soluções de cyber
Atividade do grupo hacker Conti atinge níveis alarmantes

O que é a MITRE

Como uma organização dos Estados Unidos sem fins lucrativos, a MITRE opera em temas de interesse público para todos os níveis de governo, bem como para a indústria e para o meio acadêmico. Em sua própria definição, a ong diz: “Trazemos ideias inovadoras à existência em áreas tão variadas quanto inteligência artificial, ciência intuitiva de dados, ciência da informação quântica, informática em saúde, segurança espacial, expertise política e econômica, autonomia confiável, compartilhamento de ameaças cibernéticas e resiliência cibernética”.

A lista pode ser consultada em “hxxps://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html#cwe_top_25_with_scoring_metrics”

Compartilhar: