MITRE ha publicado su lista anual de las 25 principales «debilidades de software más peligrosas» para el año 2023.
«Estas debilidades conducen a graves vulnerabilidades en el software», la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dicho. «Un atacante a menudo puede explotar estas vulnerabilidades para tomar el control de un sistema afectado, robar datos o evitar que las aplicaciones funcionen».
El lista se basa en un análisis de datos públicos de vulnerabilidad en los Datos Nacionales de Vulnerabilidad (NVD) para los mapeos de causa raíz a las debilidades de CWE durante los dos años anteriores. Se examinaron un total de 43.996 entradas de CVE y se asignó una puntuación a cada una de ellas en función de la prevalencia y la gravedad.
En primer lugar está la escritura fuera de los límites, seguida de secuencias de comandos entre sitios, inyección de SQL, uso después de la liberación, inyección de comandos del sistema operativo, validación de entrada incorrecta, lectura fuera de los límites, recorrido de ruta, falsificación de solicitud entre sitios (CSRF). ), y Carga sin restricciones de archivos con tipo peligroso. Out-of-bounds Write también ocupó el primer puesto en 2022.
70 vulnerabilidades agregadas al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) en 2021 y 2022 fueron errores de escritura fuera de los límites. Una categoría de debilidad que cayó del Top 25 es la restricción incorrecta de la referencia de entidad externa XML.
«El análisis de tendencias sobre datos de vulnerabilidad como este permite a las organizaciones tomar mejores decisiones de política e inversión en la gestión de vulnerabilidades», el equipo de investigación de Common Weakness Enumeration (CWE) dicho.
Además del software, MITRE también mantiene una lista de debilidades importantes del hardware con el objetivo de «prevenir problemas de seguridad de hardware en la fuente al educar a los diseñadores y programadores sobre cómo eliminar errores importantes al principio del ciclo de vida del desarrollo del producto».
La divulgación se produce cuando CISA, junto con la Agencia de Seguridad Nacional de EE. UU. (NSA), publicó recomendaciones y mejores practicas para que las organizaciones fortalezcan sus entornos de Integración Continua/Entrega Continua (CI/CD) contra actores cibernéticos maliciosos.
Esto incluye la implementación de algoritmos criptográficos sólidos al configurar aplicaciones en la nube, minimizar el uso de credenciales a largo plazo, agregar firma de código seguro, utilizar reglas de dos personas (2PR) para revisar las confirmaciones de código del desarrollador, adoptar el principio de privilegio mínimo (PoLP) , utilizando la segmentación de la red y auditando regularmente cuentas, secretos y sistemas.
«Al implementar las mitigaciones propuestas, las organizaciones pueden reducir la cantidad de vectores de explotación en sus entornos de CI/CD y crear un entorno desafiante para que penetre el adversario», dijeron las agencias.
El desarrollo también sigue los nuevos hallazgos de Censys de que casi 250 dispositivos que se ejecutan en varias redes del gobierno de EE. UU. Han expuesto interfaces de administración remota en la web abierta, muchas de las cuales ejecutan protocolos remotos como SSH y TELNET.
«Las agencias de FCEB deben tomar medidas de conformidad con BOD 23-02 dentro de los 14 días posteriores a la identificación de uno de estos dispositivos, ya sea protegiéndolo de acuerdo con los conceptos de Zero Trust Architecture o eliminando el dispositivo de la Internet pública», investigadores de Censys. dicho.
Las interfaces de administración remota de acceso público se han convertido en una de las vías más comunes para los ataques de los piratas informáticos y los ciberdelincuentes del estado-nación, y la explotación del protocolo de escritorio remoto (RDP) y las VPN se convirtió en una técnica de acceso inicial preferida durante el año pasado, según un nuevo reporte de ReliaQuest.