معرفی ۲۵ نقطه ضعف نرم‌افزاری خطرناک توسط MITRE: آیا در معرض خطر هستید؟

کمپانی MITRE لیست ۲۵ مورد از خطرناک‌ترین ضعف‌های نرم‌افزاری را در دو سال گذشته به اشتراک گذاشت. ضعف‌های نرم‌افزاری طیف گسترده‌ای از مسائل، ازجمله نقص‌ها، باگ‌ها، آسیب‌پذیری‌ها و خطاها در کد، معماری، پیاده‌سازی یا طراحی راه‌حل‌های نرم‌افزاری را در بر می‌گیرند. چنین ضعف‌هایی می‌تواند امنیت سیستم‌هایی را که نرم‌افزار روی آن نصب و اجرا می‌شود به خطر بیاندازد. آن‌ها می‌توانند نقطه ورود برای عوامل مخربی باشند که سعی می‌کنند کنترل دستگاه‌های آسیب‌دیده را به‌دست آورند، به داده‌های حساس دسترسی داشته باشند یا حالت‌های Denial-of-services را راه‌اندازی کنند. CISA امروز هشدار داد که «این ضعف‌ها منجر به آسیب‌پذیری‌های جدی در نرم‌افزار می‌شود. یک مهاجم معمولا می‌تواند از این آسیب‌پذیری‌ها برای به‌دست گرفتن کنترل سیستم آسیب‌دیده، سرقت داده‌ها یا جلوگیری از کارکرد برنامه‌ها، سوء استفاده کند. به منظور تهیه این فهرست،  MITRE پس از تجزیه و تحلیل ۴۳۹۹۶ ورودی CVE از پایگاه ملی آسیب‌پذیری ملی (NVD)  برای آسیب‌پذیری‌های کشف‌شده و گزارش‌شده در سال‌های ۲۰۲۱ و ۲۰۲۲، هر نقطه ضعف را بر اساس شدت و شیوع آن نمره‌گذاری کرد، همچنین تمرکز بر سوابق CVE به کاتالوگ آسیب پذیری های مورد سوء استفاده شناخته شده (KEV) CISA  اضافه شده است.

MITRE  گفت: “پس از فرآیند جمع‌آوری، محدوده‌بندی و نقشه‌برداری مجدد، از یک فرمول امتیازدهی برای محاسبه رتبه‌بندی نقاط ضعف استفاده شد که فراوانی(تعداد دفعاتی که CWE علت اصلی آسیب‌پذیری است) را با میانگین شدت هریک از آن آسیب‌پذیری‌ها در هنگام بهره‌برداری (که با امتیاز CVSS اندازه‌گیری می‌شود) ترکیب می‌کند. در هر دو مورد، فراوانی و شدت نسبت به مقادیر حداقل و حداکثر مشاهده‌شده در مجموعه داده نرمال می شود.”

۲۵ نقطه‌ضعف برتر MITRE در سال ۲۰۲۳ به‌دلیل تأثیر قابل‌توجه و شیوع گسترده در نرم‌افزارهای منتشرشده در دو سال گذشته خطرناک هستند. بهره‌برداری موفقیت‌آمیز از این لیست می‌تواند به مهاجمان اجازه دهد تا کنترل کامل سیستم‌های هدف را در دست بگیرند، داده‌های حساس را جمع‌آوری و استخراج کنند، یا یک حمله DoS را راه‌اندازی کنند. با به اشتراک گذاشتن این فهرست،MITRE  اطلاعات ارزشمندی را درمورد حیاتی‌ترین ضعف‌های امنیتی نرم‌افزار که نیاز به توجه فوری دارند، در اختیار جامعه  قرار می‌دهد.

رتبه شناسه نام امتیاز CVEs درKEV تغییر رتبه
۱ CWE-787 Out-of-bounds Write ۶۳.۷۲ ۷۰ ۰
۲ CWE-79 Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) ۴۵.۵۴ ۴ ۰
۳ CWE-89 Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) ۳۴.۲۷ ۶ ۰
۴ CWE-416 Use After Free ۱۶.۷۱ ۴۴
۵ CWE-78 Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) ۱۵.۶۵ ۲۳
۶ CWE-20 Improper Input Validation ۱۵.۵۰ ۳۵
۷ CWE-125 Out-of-bounds Read ۱۴.۶۰ ۲
۸ CWE-22 Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) ۱۴.۱۱ ۱۶ ۰
۹ CWE-352 Cross-Site Request Forgery (CSRF) ۱۱.۷۳ ۰ ۰
۱۰ CWE-434 Unrestricted Upload of File with Dangerous Type ۱۰.۴۱ ۵ ۰
۱۱ CWE-862 Missing Authorization ۶.۹۰ ۰
۱۲ CWE-476 NULL Pointer Dereference ۶.۵۹ ۰
۱۳ CWE-287 Improper Authentication ۶.۳۹ ۱۰
۱۴ CWE-190 Integer Overflow or Wraparound ۵.۸۹ ۴
۱۵ CWE-502 Deserialization of Untrusted Data ۵.۵۶ ۱۴
۱۶ CWE-77 Improper Neutralization of Special Elements used in a Command (‘Command Injection’) ۴.۹۵ ۴
۱۷ CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer ۴.۷۵ ۷
۱۸ CWE-798 Use of Hard-coded Credentials ۴.۵۷ ۲
۱۹ CWE-918 Server-Side Request Forgery (SSRF) ۴.۵۶ ۱۶
۲۰ CWE-306 Missing Authentication for Critical Function ۳.۷۸ ۸
۲۱ CWE-362 Concurrent Execution using Shared Resource with Improper Synchronization (‘Race Condition’) ۳.۵۳ ۸
۲۲ CWE-269 Improper Privilege Management ۳.۳۱ ۵
۲۳ CWE-94 Improper Control of Generation of Code (‘Code Injection’) ۳.۳۰ ۶
۲۴ CWE-863 Incorrect Authorization ۳.۱۶ ۰
۲۵ CWE-276 Incorrect Default Permissions ۳.۱۶ ۰

هشدار درمورد اشکالات نرم‌افزاری و سخت‌افزاری

در یک تلاش مشترک شامل مقامات امنیت سایبری در سراسر جهان، مجموعه‌ای جامع از ۱۵ آسیب‌پذیری برتر که معمولاً در طول سال ۲۰۲۱ در حملات مورد سوء استفاده قرار می‌گرفتند در آوریل ۲۰۲۲ منتشر شد. این تلاش مشترک شامل سازمان‌های برجسته‌ای مانند NSA و FBI  بود.  علاوه بر این، فهرستی از باگ‌های  معمول در سال ۲۰۲۰ توسط CISA و FBI در همکاری با مرکز امنیت سایبری استرالیا (ACSC) و مرکز امنیت سایبری ملی بریتانیا (NCSC) افشا شد.

CISA و FBI همچنین کاتالوگی را به اشتراک گذاشته‌اند که در آن۱۰ نقص امنیتی که بیشتر مورد سوء استفاده قرارگرفته است را بین سال‌های ۲۰۱۶ تا ۲۰۱۹ نشان می‌دهد.

درنهایت، MITRE نیز فهرستی را ارائه می‌کند که خطرناک‌ترین نقص‌های امنیتی برنامه‌نویسی، طراحی و معماری را نشان می‌دهد که سیستم‌های سخت‌افزاری را آزار می‌دهد. CISA امروز اضافه کرد که توسعه‌دهندگان و تیم‌های پاسخ امنیتی محصول را تشویق می‌کند تا ۲۵ مورد برتر CWE را بررسی کنند و اقدامات کاهشی توصیه‌شده را برای تعیین مناسب‌ترین آنها برای پذیرش ارزیابی کنند.”

ایمیل خود را وارد کنید و عضو خبرنامه شوید.
ما را در تلگرام دنبال کنید
ما را در لینکدین دنبال کنید
Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.