25 ضعف نرم افزاری بزرگ سال 2024 به گزارش MITRE
فهرست مطالب
شرکت امنیتی MITRE لیست 25 ضعف نرم افزاری بزرگ را برای سال 2024 به روزرسانی کرد. این ضعفهای سخت افزاری مربوط به بیش از 31000 آسیب پذیری کشف شده در یکسال گذشته را شامل میشود. ضعفهای نرم افزاری اشاره به باگها، نقصها و خطاهایی دارند در کد نرم افزارها وجود دارد. این موارد ممکن است به دلیل معماری، پیاده سازی و یا طراحی نرم افزار ایجاد شده باشند.
هکرها با سوء استفاده از آنها میتوانند وارد سیستمی شوند که نرم افزار آسیب پذیر بروی آن در حال اجراست، که به آنها اجاره میدهد دستگاههای آسیب پذیر را تحت کنترل دربیاورند، اطلاعات آن را بدزدند و یا برای حملات DOS استفاده کنند. MITRE میگوید: “پیدا کردن و سوء استفاده از آسیب پذیریهایی که به مجرمان سایبری اجازه تحت کنترل گرفتن سیستم، سرقت اطلاعات و جلوگیری از کارکردن اپلیکیشنها معمولا راحت است.” افشاء کردن منشاء اصلی این آسیب پذیریها یک راهنمای بسیار ارزشمند برای تنظیم سیاستها و روشهای جلوگیری از آسیب پذیریها در بدو پیدایش است.
رتبه بندی MITRE
MITRE برای رتبه بندی امسال، تمامی ضعفهای نرم افزاری براساس میزان خطرناک بودن و دفعات تکرار آن امتیاز دهی کرده است. بیش از 31000 آسیب پذیری برای این رتبه بندی آنالیز شده که تمرکز اصلی آن روی کاتالوگ آسیب پذیریها شناخته شده CISA (KEV) میباشد. CISA در این باره میگوید: ” این لیست سالیانه بحرانیترین ضعفهای نرم افزاری را نشان میدهد که دشمنان سایبری با استفاده از آن به سیستمها نفوذ کرده، اطلاعات حساس را دزدیده و سرویسهای حیاتی را از کار انداختهاند”
سازمانها باید به شکل جدی این لیست را مورد بازنگری قرار داده و از برای برنامه ریزی استراتژی امنیت نرم افزاری خود بهره برداری نمایند. همچینن اولویت بندی ضعفهای نرم افزاری در فرآیند توسعه و تدارک از وقوع آسیب پذیری در چرخه توسعه نرم افزار جلوگیری خواهد کرد.
Rank | ID | Name | Score | KEV CVEs | Change |
1 | Cross-site Scripting | 56.92 | 3 | +1 | |
2 | Out-of-bounds Write | 45.20 | 18 | -1 | |
3 | SQL Injection | 35.88 | 4 | 0 | |
4 | Cross-Site Request Forgery (CSRF) | 19.57 | 0 | +5 | |
5 | Path Traversal | 12.74 | 4 | +3 | |
6 | Out-of-bounds Read | 11.42 | 3 | +1 | |
7 | OS Command Injection | 11.30 | 5 | -2 | |
8 | Use After Free | 10.19 | 5 | -4 | |
9 | Missing Authorization | 10.11 | 0 | +2 | |
10 | Unrestricted Upload of File with Dangerous Type | 10.03 | 0 | 0 | |
11 | Code Injection | 7.13 | 7 | +12 | |
12 | Improper Input Validation | 6.78 | 1 | -6 | |
13 | Command Injection | 6.74 | 4 | +3 | |
14 | Improper Authentication | 5.94 | 4 | -1 | |
15 | Improper Privilege Management | 5.22 | 0 | +7 | |
16 | Deserialization of Untrusted Data | 5.07 | 5 | -1 | |
17 | Exposure of Sensitive Information to an Unauthorized Actor | 5.07 | 0 | +13 | |
18 | Incorrect Authorization | 4.05 | 2 | +6 | |
19 | Server-Side Request Forgery (SSRF) | 4.05 | 2 | 0 | |
20 | Improper Operations Restriction in Memory Buffer Bounds | 3.69 | 2 | -3 | |
21 | NULL Pointer Dereference | 3.58 | 0 | -9 | |
22 | Use of Hard-coded Credentials | 3.46 | 2 | -4 | |
23 | Integer Overflow or Wraparound | 3.37 | 3 | -9 | |
24 | Uncontrolled Resource Consumption | 3.23 | 0 | +13 | |
25 | Missing Authentication for Critical Function | 2.73 | 5 | -5 |
بسیاری از این آسیب پذیریها به دلیل استفاده در فعالیتهای مخربانه به سرعت عیب یابی شدهاند. برای مثال آسیب پذیری مربوط به تزریق کدهای سیستمی که توسط هکرهای چینی Velvet Ant برای حمله به Cisco، Palo Alto و Ivanti استفاده میکردند. طی اطلاعیهای گسترده از تمامی برنامه نویسان خواسته شد، کدهای خود را برای رفع این آسیب پذیری اصلاح کنند.
نکته پایانی
در سال 2023، اکثریت آسیب پذیریهای استفاده شده توسط هکرها، به عنوان آسیب پذیریهای روز صفر شناسایی شدهاند و افزایشی را نسبت به سال 2022 شاهد شدیم. لیست منتشر شده توسط MITRE لزوم بررسی آسیب پذیری سیستمها و سامانههای مورد استفاده در سازمان را به خوبی نشان میدهد. هیچ آسیب پذیری و نقص امنیتی در سازمان نباید بدون رسیدگی و treatment باقی بماند، در غیر اینصورت سازمان با ریسکهای متعددی مواجه خواهد شد.
0 دیدگاه