MITRE, 2023 yılı için yıllık İlk 25 “en tehlikeli yazılım zayıflığı” listesini yayınladı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), “Bu zayıflıklar, yazılımlarda ciddi güvenlik açıklarına yol açıyor” söz konusu. “Bir saldırgan, etkilenen bir sistemin kontrolünü ele geçirmek, verileri çalmak veya uygulamaların çalışmasını engellemek için genellikle bu güvenlik açıklarından yararlanabilir.”
bu liste dayalıdır analiz Ulusal Güvenlik Açığı Verilerindeki genel güvenlik açığı verilerinin (NVD) önceki iki yıl için CWE zayıflıklarına temel neden eşlemeleri için. Toplam 43.996 CVE girişi incelendi ve her birine yaygınlık ve ciddiyete göre bir puan eklendi.
En üstte, Sınır Dışı Yazma, ardından Siteler Arası Komut Dosyası Çalıştırma, SQL Enjeksiyonu, Ücretsiz Kullanımdan Sonra, İşletim Sistemi Komut Enjeksiyonu, Uygun Olmayan Giriş Doğrulaması, Sınır Dışı Okuma, Yol Geçişi, Siteler Arası İstek Sahteciliği (CSRF) gelir. ) ve Tehlikeli Türde Dosyanın Sınırsız Karşıya Yüklenmesi. Out-of-bounds Write da 2022’de zirvede yer aldı.
2021 ve 2022’de Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğuna eklenen 70 güvenlik açığı, Sınır Dışı Yazma hatalarıydı. İlk 25’ten düşen bir zayıflık kategorisi, XML Harici Varlık Referansının Uygun Olmayan Kısıtlamasıdır.
Common Weakness Enumeration (CWE) araştırma ekibi, “Bunun gibi güvenlik açığı verileriyle ilgili trend analizi, kuruluşların güvenlik açığı yönetiminde daha iyi yatırım ve politika kararları almasını sağlıyor.” söz konusu.
MITRE, yazılımın yanı sıra aşağıdakilerin bir listesini de tutar: önemli donanım zayıflıkları “Tasarımcıları ve programcıları, ürün geliştirme yaşam döngüsünün erken aşamalarında önemli hataların nasıl ortadan kaldırılacağı konusunda eğiterek donanım güvenliği sorunlarını kaynağında önleme” amacı ile.
Açıklama, ABD Ulusal Güvenlik Teşkilatı (NSA) ile birlikte yayınlanan CISA olarak geldi. öneriler ve en iyi uygulamalar kuruluşların Sürekli Entegrasyon/Sürekli Teslimat (CI/CD) ortamlarını kötü niyetli siber aktörlere karşı güçlendirmeleri için.
Bu, bulut uygulamalarını yapılandırırken güçlü kriptografik algoritmaların uygulanmasını, uzun vadeli kimlik bilgilerinin kullanımını en aza indirmeyi, güvenli kod imzalama eklemeyi, geliştirici kodu taahhütlerini incelemek için iki kişilik kuralları (2PR) kullanmayı, en az ayrıcalık ilkesini (PoLP) benimsemeyi içerir. , ağ segmentasyonunu kullanarak ve hesapları, sırları ve sistemleri düzenli olarak denetleyin.
Ajanslar, “Önerilen azaltmaları uygulayarak kuruluşlar, CI/CD ortamlarındaki istismar vektörlerinin sayısını azaltabilir ve düşmanın nüfuz etmesi için zorlu bir ortam yaratabilir” dedi.
Geliştirme aynı zamanda, Censys’in, çeşitli ABD hükümet ağlarında çalışan yaklaşık 250 cihazın, birçoğu SSH ve TELNET gibi uzak protokoller çalıştıran açık web üzerinde uzaktan yönetim arayüzlerine maruz kaldığına dair yeni bulgularını takip ediyor.
Censys araştırmacıları, “FCEB ajanslarının, bu cihazlardan birini belirledikten sonraki 14 gün içinde BOD 23-02’ye uygun olarak Zero Trust Architecture kavramlarına göre güvenliğini sağlayarak veya cihazı halka açık internetten kaldırarak harekete geçmesi gerekiyor.” söz konusu.
Bir araştırmaya göre, uzak masaüstü protokolünün (RDP) kullanılması ve VPN’lerin geçtiğimiz yıl tercih edilen bir ilk erişim tekniği haline gelmesiyle, halka açık uzaktan yönetim arabirimleri, ulus devlet bilgisayar korsanları ve siber suçlular tarafından yapılan saldırıların en yaygın yollarından biri olarak ortaya çıktı. yeni rapor ReliaQuest’ten.
