25 самых распространенных и опасных уязвимостей 2024 года по версии MITRE

Эксперты MITRE традиционно представили список 25 самых распространенных и опасных уязвимостей в программном обеспечении. В этом году для его создания использовали 31 000 уязвимостей, раскрытых в период с июня 2023 по июнь 2024 года.

Под уязвимостями в ПО подразумеваются самые разные проблемы, баги, уязвимости и ошибки, обнаруженные в коде, архитектуре, имплементациях или дизайне софта. Такие угрозы могут поставить под угрозу безопасность систем, где установлено и работает проблемное ПО. Они могут стать точкой входа для злоумышленников, пытающихся получить контроль над уязвимыми устройствами, помогут атакующим получить доступ к конфиденциальным данным или спровоцировать отказ в обслуживании.

 

«Зачастую [такие угрозы] легко обнаружить и эксплуатировать, и они могут привести к уязвимостям, которые позволят злоумышленникам полностью захватить систему, украсть данные или помешать работе приложений», — пишут специалисты MITRE и добавляют, что обнаружение первопричин таких угроз приносит пользу как индустрии, так и властям.

Для составления рейтинга 2024 года MITRE проанализировала 31 770 различных CVE, найденных в 2023 и 2024 годах, уделяя особое внимание проблемам, которые были добавлены в каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV), которым управляет Агентство по кибербезопасности и защите инфраструктуры США (CISA).

Отметим, что проблемы в списке MITRE имеют собственные идентификаторы CWE (не путать с CVE) — Common Weakness Enumeration. CWE отличаются от CVE тем, что, по сути, первые являются предшественниками вторых, то есть CWE приводят к появлению непосредственно уязвимостей.

В 2024 году для CWE насчитывается почти 1000 разных категорий, которые объединяют в себе весьма обширные классы разнообразных проблем, например, CWE-20 (некорректная проверка вводимых данных), CWE- 200 (раскрытие информации) и CWE-287 (некорректная аутентификация).

«В этом ежегодном списке перечислены наиболее важные слабые места в программном обеспечении, которые атакующие часто используют для взлома систем, кражи конфиденциальных данных или нарушения работы важнейших служб, — в свою очередь добавляют представители CISA. — Организациям настоятельно рекомендуется ознакомиться с этим списком и использовать его при формировании своих стратегий безопасности ПО».

Список топ-25 CWE 2024 года, составленный специалистами MITRE, выглядит следующим образом:

МестоID ПроблемаОценкаКоличество KEV (CVE)По сравнению с 2023 годом
1CWE-79Некорректная нейтрализация ввода во время генерации веб-страницы (XSS, межсайтовый скриптинг)56.923+1
2CWE-787Out-of-bounds запись45.2018-1
3CWE-89SQL-инъекция35.8840
4CWE-352Подделка межсайтовых запросов (CSRF)19.570+5
5CWE-22Обход каталога (Path Traversal)12.744+3
6CWE-125Out-of-bounds чтение11.423+1
7CWE-78Инъекция команд на уровне ОС11.305-2
8CWE-416Use After Free10.195-4
9CWE-862Отсутствие аутентификации10.110+2
10CWE-434Неограниченная загрузка файлов опасного типа10.0300
11CWE-94Инъекция кода7.137+12
12CWE-20Некорректная проверка ввода6.781-6
13CWE-77Инъекция команд6.744+3
14CWE-287Некорректная аутентификация5.944-1
15CWE-269Некорректное управление привилегиями5.220+7
16CWE-502Десериализация недоверенных данных5.075-1
17CWE-200Раскрытие чувствительных данных неавторизованному лицу5.070+13
18CWE-863Некорректная авторизация4.052+6
19CWE-918Подделка запросов на стороне сервера (SSRF)4.0520
20CWE-119Некорректное ограничение операций в пределах буфера памяти3.692-3
21CWE-476Разыменование нулевого указателя3.580-9
22CWE-798Использование жестко закодированных учетных данных3.462-4
23CWE-190Целочисленное переполнение или перенос3.373-9
24CWE-400Неконтролируемое потребление ресурсов3.230+13
25CWE-306Отсутствие аутентификации для критической функции2.735-5

 

С заботой о вашей безопасности, команда Origin Security

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *