MITRE* опублікувала щорічний список 25 «найнебезпечніших недоліків програмного забезпечення» за 2023 рік.
«Ці недоліки призводять до серйозних вразливостей у програмному забезпеченні», – заявили в Агентстві з кібербезпеки та безпеки інфраструктури США (CISA). «Зловмисник часто може використовувати ці вразливості, щоб отримати контроль над скомпрометованою системою, викрасти дані або перешкоджати роботі програм та додатків».
Список базується на аналізі загальнодоступних даних про вразливості в Національних даних про вразливість (NVD) для зіставлення першопричин із недоліками CWE за попередні два роки. Загалом було досліджено 43 996 записів CVE, і кожному з них було присвоєно оцінку на основі поширеності та тяжкості.
Перші місця серед недоліків програмного забезпечення отримали:
- Out-of-bounds Write (поза буферний запис), також очолював цей список у 2022 році
- Cross-site Scripting
- SQL ін’єкції
- Use After Free (використання залишкової пам’яті)
- OS Command Injection
- Improper Input Validation (не коректна валідація вводу)
- Out-of-bounds Read (поза буферне читання)
- Path Traversal,
- Cross-Site Request Forgery (CSRF)
- Unrestricted Upload of File with Dangerous Type
70 вразливостей, доданих до каталогу Known Exploited Vulnerabilities (KEV) у 2021 та 2022 роках, були лиш побічними наслідками Out-of-bound Write. Однією з категорій недоліків, яка випала з топ-25, є Improper Restriction of XML External Entity Reference.
«Аналіз тенденцій щодо таких даних про вразливості дозволяє організаціям приймати кращі інвестиційні та політичні рішення щодо управління вразливостями», – заявила дослідницька група Common Weakness Enumeration (CWE).
Крім програмного забезпечення, MITER також підтримує список важливих слабких місць апаратного забезпечення. Це робиться з метою «запобігти проблемам із безпекою апаратного забезпечення на ранніх етапах життєвого циклу розробки продукту».
Вся інформація була оприлюднена після того, як CISA разом з Агентством національної безпеки США (NSA) оприлюднили рекомендації та найкращі практики для організацій щодо захисту своїх CI/CD середовищ від зловмисників. Це включає:
- впровадження надійних криптографічних алгоритмів під час налаштування хмарних додатків
- мінімізацію використання довгострокових облікових даних
- додавання безпечного підпису коду
- використання правил двох осіб (2PR) для перевірки коду розробника
- прийняття принципу найменших привілеїв (PoLP), використовуючи сегментацію мережі та регулярно перевіряючи облікові записи, секрети та системи.
Кібербезпека
«Впроваджуючи запропоновані превентивні засоби, організації можуть зменшити кількість векторів експлуатації у своїх CI/CD середовищах і створити складне середовище для проникнення зловмисника», – повідомили агентства.
Базуючись на цих даних, Censys прийшли до нових висновків про те, що майже 250 пристроїв, які працюють у різних урядових мережах США, мають відкриті інтерфейси віддаленого керування. Також, багато з них використовують віддалені протоколи, такі як SSH і TELNET.
Загальнодоступні інтерфейси віддаленого керування стали одним із найпоширеніших шляхів атак хакерів і кіберзлочинців. При цьому використання протоколу віддаленого робочого столу (RDP) і VPN стало переважною технікою початкового доступу протягом останнього року, згідно з даними нового звіт від ReliaQuest.
*MITER ATT&CK® – це доступна в усьому світі база знань про тактику зловмисників, заснована на реальних спостереженнях. База знань ATT&CK використовується як основа для розробки конкретних моделей захисту від загроз і методологій у приватному секторі, в уряді та в спільноті продуктів і послуг кібербезпеки.
