{"id":830836,"date":"2023-06-30T06:13:41","date_gmt":"2023-06-30T06:13:41","guid":{"rendered":"https:\/\/teknomers.com\/es\/mitre-revela-las-25-debilidades-de-software-mas-peligrosas-de-2023-esta-usted-en-riesgo\/"},"modified":"2023-06-30T06:13:45","modified_gmt":"2023-06-30T06:13:45","slug":"mitre-revela-las-25-debilidades-de-software-mas-peligrosas-de-2023-esta-usted-en-riesgo","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/mitre-revela-las-25-debilidades-de-software-mas-peligrosas-de-2023-esta-usted-en-riesgo\/","title":{"rendered":"MITRE revela las 25 debilidades de software m\u00e1s peligrosas de 2023: \u00bfEst\u00e1 usted en riesgo?"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>30 de junio de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Vulnerabilidad \/ Seguridad del software<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

MITRE ha publicado su lista anual de las 25 principales “debilidades de software m\u00e1s peligrosas” para el a\u00f1o 2023.<\/p>\n

“Estas debilidades conducen a graves vulnerabilidades en el software”, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dicho<\/a>. “Un atacante a menudo puede explotar estas vulnerabilidades para tomar el control de un sistema afectado, robar datos o evitar que las aplicaciones funcionen”.<\/p>\n

El lista<\/a> se basa en un an\u00e1lisis<\/a> de datos p\u00fablicos de vulnerabilidad en los Datos Nacionales de Vulnerabilidad (NVD<\/a>) para los mapeos de causa ra\u00edz a las debilidades de CWE durante los dos a\u00f1os anteriores. Se examinaron un total de 43.996 entradas de CVE y se asign\u00f3 una puntuaci\u00f3n a cada una de ellas en funci\u00f3n de la prevalencia y la gravedad.<\/p>\n

En primer lugar est\u00e1 la escritura fuera de los l\u00edmites, seguida de secuencias de comandos entre sitios, inyecci\u00f3n de SQL, uso despu\u00e9s de la liberaci\u00f3n, inyecci\u00f3n de comandos del sistema operativo, validaci\u00f3n de entrada incorrecta, lectura fuera de los l\u00edmites, recorrido de ruta, falsificaci\u00f3n de solicitud entre sitios (CSRF). ), y Carga sin restricciones de archivos con tipo peligroso. Out-of-bounds Write tambi\u00e9n ocup\u00f3 el primer puesto en 2022.<\/p>\n

\"La<\/a><\/center><\/div>\n

70 vulnerabilidades agregadas al cat\u00e1logo de Vulnerabilidades Explotadas Conocidas (KEV) en 2021 y 2022 fueron errores de escritura fuera de los l\u00edmites. Una categor\u00eda de debilidad que cay\u00f3 del Top 25 es la restricci\u00f3n incorrecta de la referencia de entidad externa XML.<\/p>\n

“El an\u00e1lisis de tendencias sobre datos de vulnerabilidad como este permite a las organizaciones tomar mejores decisiones de pol\u00edtica e inversi\u00f3n en la gesti\u00f3n de vulnerabilidades”, el equipo de investigaci\u00f3n de Common Weakness Enumeration (CWE) dicho<\/a>.<\/p>\n

Adem\u00e1s del software, MITRE tambi\u00e9n mantiene una lista de debilidades importantes del hardware<\/a> con el objetivo de “prevenir problemas de seguridad de hardware en la fuente al educar a los dise\u00f1adores y programadores sobre c\u00f3mo eliminar errores importantes al principio del ciclo de vida del desarrollo del producto”.<\/p>\n

La divulgaci\u00f3n se produce cuando CISA, junto con la Agencia de Seguridad Nacional de EE. UU. (NSA), public\u00f3 recomendaciones y mejores practicas<\/a> para que las organizaciones fortalezcan sus entornos de Integraci\u00f3n Continua\/Entrega Continua (CI\/CD) contra actores cibern\u00e9ticos maliciosos.<\/p>\n

Esto incluye la implementaci\u00f3n de algoritmos criptogr\u00e1ficos s\u00f3lidos al configurar aplicaciones en la nube, minimizar el uso de credenciales a largo plazo, agregar firma de c\u00f3digo seguro, utilizar reglas de dos personas (2PR) para revisar las confirmaciones de c\u00f3digo del desarrollador, adoptar el principio de privilegio m\u00ednimo (PoLP) , utilizando la segmentaci\u00f3n de la red y auditando regularmente cuentas, secretos y sistemas.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Al implementar las mitigaciones propuestas, las organizaciones pueden reducir la cantidad de vectores de explotaci\u00f3n en sus entornos de CI\/CD y crear un entorno desafiante para que penetre el adversario”, dijeron las agencias.<\/p>\n

El desarrollo tambi\u00e9n sigue los nuevos hallazgos de Censys de que casi 250 dispositivos que se ejecutan en varias redes del gobierno de EE. UU. Han expuesto interfaces de administraci\u00f3n remota en la web abierta, muchas de las cuales ejecutan protocolos remotos como SSH y TELNET.<\/p>\n

“Las agencias de FCEB deben tomar medidas de conformidad con BOD 23-02 dentro de los 14 d\u00edas posteriores a la identificaci\u00f3n de uno de estos dispositivos, ya sea protegi\u00e9ndolo de acuerdo con los conceptos de Zero Trust Architecture o eliminando el dispositivo de la Internet p\u00fablica”, investigadores de Censys. dicho<\/a>.<\/p>\n

Las interfaces de administraci\u00f3n remota de acceso p\u00fablico se han convertido en una de las v\u00edas m\u00e1s comunes para los ataques de los piratas inform\u00e1ticos y los ciberdelincuentes del estado-naci\u00f3n, y la explotaci\u00f3n del protocolo de escritorio remoto (RDP) y las VPN se convirti\u00f3 en una t\u00e9cnica de acceso inicial preferida durante el a\u00f1o pasado, seg\u00fan un nuevo reporte<\/a> de ReliaQuest.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n