کمپانی MITRE لیست ۲۵ مورد از خطرناکترین ضعفهای نرمافزاری را در دو سال گذشته به اشتراک گذاشت. ضعفهای نرمافزاری طیف گستردهای از مسائل، ازجمله نقصها، باگها، آسیبپذیریها و خطاها در کد، معماری، پیادهسازی یا طراحی راهحلهای نرمافزاری را در بر میگیرند. چنین ضعفهایی میتواند امنیت سیستمهایی را که نرمافزار روی آن نصب و اجرا میشود به خطر بیاندازد. آنها میتوانند نقطه ورود برای عوامل مخربی باشند که سعی میکنند کنترل دستگاههای آسیبدیده را بهدست آورند، به دادههای حساس دسترسی داشته باشند یا حالتهای Denial-of-services را راهاندازی کنند. CISA امروز هشدار داد که «این ضعفها منجر به آسیبپذیریهای جدی در نرمافزار میشود. یک مهاجم معمولا میتواند از این آسیبپذیریها برای بهدست گرفتن کنترل سیستم آسیبدیده، سرقت دادهها یا جلوگیری از کارکرد برنامهها، سوء استفاده کند. به منظور تهیه این فهرست، MITRE پس از تجزیه و تحلیل ۴۳۹۹۶ ورودی CVE از پایگاه ملی آسیبپذیری ملی (NVD) برای آسیبپذیریهای کشفشده و گزارششده در سالهای ۲۰۲۱ و ۲۰۲۲، هر نقطه ضعف را بر اساس شدت و شیوع آن نمرهگذاری کرد، همچنین تمرکز بر سوابق CVE به کاتالوگ آسیب پذیری های مورد سوء استفاده شناخته شده (KEV) CISA اضافه شده است.
MITRE گفت: “پس از فرآیند جمعآوری، محدودهبندی و نقشهبرداری مجدد، از یک فرمول امتیازدهی برای محاسبه رتبهبندی نقاط ضعف استفاده شد که فراوانی(تعداد دفعاتی که CWE علت اصلی آسیبپذیری است) را با میانگین شدت هریک از آن آسیبپذیریها در هنگام بهرهبرداری (که با امتیاز CVSS اندازهگیری میشود) ترکیب میکند. در هر دو مورد، فراوانی و شدت نسبت به مقادیر حداقل و حداکثر مشاهدهشده در مجموعه داده نرمال می شود.”
۲۵ نقطهضعف برتر MITRE در سال ۲۰۲۳ بهدلیل تأثیر قابلتوجه و شیوع گسترده در نرمافزارهای منتشرشده در دو سال گذشته خطرناک هستند. بهرهبرداری موفقیتآمیز از این لیست میتواند به مهاجمان اجازه دهد تا کنترل کامل سیستمهای هدف را در دست بگیرند، دادههای حساس را جمعآوری و استخراج کنند، یا یک حمله DoS را راهاندازی کنند. با به اشتراک گذاشتن این فهرست،MITRE اطلاعات ارزشمندی را درمورد حیاتیترین ضعفهای امنیتی نرمافزار که نیاز به توجه فوری دارند، در اختیار جامعه قرار میدهد.
رتبه | شناسه | نام | امتیاز | CVEs درKEV | تغییر رتبه |
۱ | CWE-787 | Out-of-bounds Write | ۶۳.۷۲ | ۷۰ | ۰ |
۲ | CWE-79 | Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) | ۴۵.۵۴ | ۴ | ۰ |
۳ | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) | ۳۴.۲۷ | ۶ | ۰ |
۴ | CWE-416 | Use After Free | ۱۶.۷۱ | ۴۴ | +۳ |
۵ | CWE-78 | Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) | ۱۵.۶۵ | ۲۳ | +۱ |
۶ | CWE-20 | Improper Input Validation | ۱۵.۵۰ | ۳۵ | -۲ |
۷ | CWE-125 | Out-of-bounds Read | ۱۴.۶۰ | ۲ | -۲ |
۸ | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) | ۱۴.۱۱ | ۱۶ | ۰ |
۹ | CWE-352 | Cross-Site Request Forgery (CSRF) | ۱۱.۷۳ | ۰ | ۰ |
۱۰ | CWE-434 | Unrestricted Upload of File with Dangerous Type | ۱۰.۴۱ | ۵ | ۰ |
۱۱ | CWE-862 | Missing Authorization | ۶.۹۰ | ۰ | +۵ |
۱۲ | CWE-476 | NULL Pointer Dereference | ۶.۵۹ | ۰ | -۱ |
۱۳ | CWE-287 | Improper Authentication | ۶.۳۹ | ۱۰ | +۱ |
۱۴ | CWE-190 | Integer Overflow or Wraparound | ۵.۸۹ | ۴ | -۱ |
۱۵ | CWE-502 | Deserialization of Untrusted Data | ۵.۵۶ | ۱۴ | -۳ |
۱۶ | CWE-77 | Improper Neutralization of Special Elements used in a Command (‘Command Injection’) | ۴.۹۵ | ۴ | +۱ |
۱۷ | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer | ۴.۷۵ | ۷ | +۲ |
۱۸ | CWE-798 | Use of Hard-coded Credentials | ۴.۵۷ | ۲ | -۳ |
۱۹ | CWE-918 | Server-Side Request Forgery (SSRF) | ۴.۵۶ | ۱۶ | +۲ |
۲۰ | CWE-306 | Missing Authentication for Critical Function | ۳.۷۸ | ۸ | -۲ |
۲۱ | CWE-362 | Concurrent Execution using Shared Resource with Improper Synchronization (‘Race Condition’) | ۳.۵۳ | ۸ | +۱ |
۲۲ | CWE-269 | Improper Privilege Management | ۳.۳۱ | ۵ | +۷ |
۲۳ | CWE-94 | Improper Control of Generation of Code (‘Code Injection’) | ۳.۳۰ | ۶ | +۲ |
۲۴ | CWE-863 | Incorrect Authorization | ۳.۱۶ | ۰ | +۴ |
۲۵ | CWE-276 | Incorrect Default Permissions | ۳.۱۶ | ۰ | -۵ |
هشدار درمورد اشکالات نرمافزاری و سختافزاری
در یک تلاش مشترک شامل مقامات امنیت سایبری در سراسر جهان، مجموعهای جامع از ۱۵ آسیبپذیری برتر که معمولاً در طول سال ۲۰۲۱ در حملات مورد سوء استفاده قرار میگرفتند در آوریل ۲۰۲۲ منتشر شد. این تلاش مشترک شامل سازمانهای برجستهای مانند NSA و FBI بود. علاوه بر این، فهرستی از باگهای معمول در سال ۲۰۲۰ توسط CISA و FBI در همکاری با مرکز امنیت سایبری استرالیا (ACSC) و مرکز امنیت سایبری ملی بریتانیا (NCSC) افشا شد.
CISA و FBI همچنین کاتالوگی را به اشتراک گذاشتهاند که در آن۱۰ نقص امنیتی که بیشتر مورد سوء استفاده قرارگرفته است را بین سالهای ۲۰۱۶ تا ۲۰۱۹ نشان میدهد.
درنهایت، MITRE نیز فهرستی را ارائه میکند که خطرناکترین نقصهای امنیتی برنامهنویسی، طراحی و معماری را نشان میدهد که سیستمهای سختافزاری را آزار میدهد. CISA امروز اضافه کرد که توسعهدهندگان و تیمهای پاسخ امنیتی محصول را تشویق میکند تا ۲۵ مورد برتر CWE را بررسی کنند و اقدامات کاهشی توصیهشده را برای تعیین مناسبترین آنها برای پذیرش ارزیابی کنند.”