25 ضعف نرم افزاری بزرگ سال 2024 به گزارش MITRE

25 ضعف نرم افزاری بزرگ سال 2024 به گزارش MITRE

فهرست مطالب

شرکت امنیتی MITRE لیست 25 ضعف نرم افزاری بزرگ را برای سال 2024 به روزرسانی کرد. این ضعف‌های سخت افزاری مربوط به بیش از 31000 آسیب پذیری کشف شده در یکسال گذشته را شامل می‌شود. ضعف‌های نرم افزاری اشاره به باگ‌ها، نقص‌ها و خطاهایی دارند در کد نرم افزارها وجود دارد. این موارد ممکن است به دلیل معماری، پیاده سازی و یا طراحی نرم افزار ایجاد شده باشند.

هکرها با سوء استفاده از آن‌ها می‌توانند وارد سیستمی شوند که نرم افزار آسیب پذیر بروی آن در حال اجراست، که به آنها اجاره می‌دهد دستگاه‌های آسیب پذیر را تحت کنترل دربیاورند، اطلاعات آن را بدزدند و یا برای حملات DOS استفاده کنند. MITRE می‌گوید: “پیدا کردن و سوء استفاده از آسیب پذیری‌هایی که به مجرمان سایبری اجازه تحت کنترل گرفتن سیستم، سرقت اطلاعات و جلوگیری از کارکردن اپلیکیشن‌ها معمولا راحت است.” افشاء کردن منشاء اصلی این آسیب پذیری‌ها یک راهنمای بسیار ارزشمند برای تنظیم سیاست‌ها و روش‌های جلوگیری از آسیب پذیری‌ها در بدو پیدایش است.

رتبه بندی MITRE

MITRE برای رتبه بندی امسال، تمامی ضعف‌های نرم افزاری براساس میزان خطرناک بودن و دفعات تکرار آن امتیاز دهی کرده است. بیش از 31000 آسیب پذیری برای این رتبه بندی آنالیز شده که تمرکز اصلی آن روی کاتالوگ آسیب پذیری‌ها شناخته شده CISA (KEV) می‌باشد. CISA در این باره می‌گوید: ” این لیست سالیانه بحرانی‌ترین ضعف‌های نرم افزاری را نشان می‌دهد که دشمنان سایبری با استفاده از آن به سیستم‌ها نفوذ کرده، اطلاعات حساس را دزدیده و سرویس‌های حیاتی را از کار انداخته‌اند”

سازمان‌ها باید به شکل جدی این لیست را مورد بازنگری قرار داده و از برای برنامه ریزی استراتژی امنیت نرم افزاری خود بهره برداری نمایند. همچینن اولویت بندی ضعف‌های نرم افزاری در فرآیند توسعه و تدارک از وقوع آسیب پذیری در چرخه توسعه نرم افزار جلوگیری خواهد کرد.

Rank

ID

Name

Score

KEV CVEs

Change

1

CWE-79

Cross-site Scripting

56.92

3

+1

2

CWE-787

Out-of-bounds Write

45.20

18

-1

3

CWE-89

SQL Injection

35.88

4

0

4

CWE-352

Cross-Site Request Forgery (CSRF)

19.57

0

+5

5

CWE-22

Path Traversal

12.74

4

+3

6

CWE-125

Out-of-bounds Read

11.42

3

+1

7

CWE-78

OS Command Injection

11.30

5

-2

8

CWE-416

Use After Free

10.19

5

-4

9

CWE-862

Missing Authorization

10.11

0

+2

10

CWE-434

Unrestricted Upload of File with Dangerous Type

10.03

0

0

11

CWE-94

Code Injection

7.13

7

+12

12

CWE-20

Improper Input Validation

6.78

1

-6

13

CWE-77

Command Injection

6.74

4

+3

14

CWE-287

Improper Authentication

5.94

4

-1

15

CWE-269

Improper Privilege Management

5.22

0

+7

16

CWE-502

Deserialization of Untrusted Data

5.07

5

-1

17

CWE-200

Exposure of Sensitive Information to an Unauthorized Actor

5.07

0

+13

18

CWE-863

Incorrect Authorization

4.05

2

+6

19

CWE-918

Server-Side Request Forgery (SSRF)

4.05

2

0

20

CWE-119

Improper Operations Restriction in Memory Buffer Bounds

3.69

2

-3

21

CWE-476

NULL Pointer Dereference

3.58

0

-9

22

CWE-798

Use of Hard-coded Credentials

3.46

2

-4

23

CWE-190

Integer Overflow or Wraparound

3.37

3

-9

24

CWE-400

Uncontrolled Resource Consumption

3.23

0

+13

25

CWE-306

Missing Authentication for Critical Function

2.73

5

-5

بسیاری از این آسیب پذیری‌ها به دلیل استفاده در فعالیت‌های مخربانه به سرعت عیب یابی شده‌اند. برای مثال آسیب پذیری مربوط به تزریق کدهای سیستمی که توسط هکرهای چینی Velvet Ant برای حمله به Cisco، Palo Alto و Ivanti استفاده می‌کردند. طی اطلاعیه‌ای گسترده از تمامی برنامه نویسان خواسته شد، کدهای خود را برای رفع این آسیب پذیری اصلاح کنند.

نکته پایانی

در سال 2023، اکثریت آسیب پذیری‌های استفاده شده توسط هکرها، به عنوان آسیب پذیری‌های روز صفر شناسایی شده‌اند و افزایشی را نسبت به سال 2022 شاهد شدیم. لیست منتشر شده توسط MITRE لزوم بررسی آسیب پذیری سیستم‌ها و سامانه‌های مورد استفاده در سازمان را به خوبی نشان می‌دهد. هیچ آسیب پذیری و نقص امنیتی در سازمان نباید بدون رسیدگی و treatment باقی بماند، در غیر اینصورت سازمان با ریسک‌های متعددی مواجه خواهد شد.

0 دیدگاه

دیدگاهتان را بنویسید

Avatar placeholder

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *