MITRE stellt die 25 gefährlichsten Softwareschwächen des Jahres 2024 vor!
MITRE hat die diesjährige Top-25-Liste der häufigsten und gefährlichsten Softwareschwachstellen veröffentlicht, die hinter mehr als 31.000 Schwachstellen stehen, die zwischen Juni 2023 und Juni 2024 offengelegt wurden.
Softwareschwächen beziehen sich auf Mängel, Bugs, Schwachstellen und Fehler, die im Code, in der Architektur, in der Implementierung oder im Design der Software gefunden werden.
Angreifer können sie ausnutzen, um in Systeme einzudringen, auf denen die anfällige Software ausgeführt wird. Dadurch können sie die Kontrolle über betroffene Geräte erlangen und auf sensible Daten zugreifen oder Denial-of-Service-Angriffe auslösen.
„Diese sind oft leicht zu finden und auszunutzen und können zu ausnutzbaren Schwachstellen führen, die es Angreifern ermöglichen, ein System vollständig zu übernehmen, Daten zu stehlen oder die Funktionsfähigkeit von Anwendungen zu verhindern“, sagte MITRE heute.
„Das Aufdecken der Grundursachen dieser Schwachstellen dient als wirkungsvoller Leitfaden für Investitionen, Richtlinien und Praktiken, um das Auftreten dieser Schwachstellen von vornherein zu verhindern – was sowohl der Industrie als auch den Interessenvertretern der Regierung zugute kommt.“
Um das diesjährige Ranking zu erstellen, bewertete MITRE jede Schwachstelle anhand ihrer Schwere und Häufigkeit, nachdem sie 31.770 CVE-Datensätze auf Schwachstellen analysiert hatte, die „von einer Neuzuordnungsanalyse profitieren würden“ und über die Jahre 2023 und 2024 gemeldet wurden, wobei der Schwerpunkt auf Sicherheitslücken lag, die zu CISAs Known hinzugefügt wurden Katalog der ausgenutzten Sicherheitslücken (KEV).
„Diese jährliche Liste identifiziert die kritischsten Softwareschwachstellen, die Angreifer häufig ausnutzen, um Systeme zu gefährden, sensible Daten zu stehlen oder wichtige Dienste zu stören“, fügte CISA hinzu . heute
„Organisationen wird dringend empfohlen, diese Liste zu überprüfen und sie als Grundlage für ihre Software-Sicherheitsstrategien zu verwenden. Die Priorisierung dieser Schwachstellen in Entwicklungs- und Beschaffungsprozessen trägt dazu bei, Schwachstellen im Kern des Software-Lebenszyklus zu verhindern.“
Rank ID Name Score KEV CVEs Change
--------------------------------------------------------------
1 CWE-79 Cross-site Scripting 56.92 3 +1
2 CWE-787 Out-of-bounds Write 45.20 18 -1
3 CWE-89 SQL Injection 35.88 4 0
4 CWE-352 Cross-Site Request Forgery (CSRF) 19.57 0 +5
5 CWE-22 Path Traversal 12.74 4 +3
6 CWE-125 Out-of-bounds Read 11.42 3 +1
7 CWE-78 OS Command Injection 11.30 5 -2
8 CWE-416 Use After Free 10.19 5 -4
9 CWE-862 Missing Authorization 10.11 0 +2
10 CWE-434 Unrestricted Upload of File with Dangerous Type 10.03 0 0
11 CWE-94 Code Injection 7.13 7 +12
12 CWE-20 Improper Input Validation 6.78 1 -6
13 CWE-77 Command Injection 6.74 4 +3
14 CWE-287 Improper Authentication 5.94 4 -1
15 CWE-269 Improper Privilege Management 5.22 0 +7
16 CWE-502 Deserialization of Untrusted Data 5.07 5 -1
17 CWE-200 Exposure of Sensitive Information to an Unauthorized Actor 5.07 0 +13
18 CWE-863 Incorrect Authorization 4.05 2 +6
19 CWE-918 Server-Side Request Forgery (SSRF) 4.05 2 0
20 CWE-119 Improper Operations Restriction in Memory Buffer Bounds 3.69 2 -3
21 CWE-476 NULL Pointer Dereference 3.58 0 -9
22 CWE-798 Use of Hard-coded Credentials 3.46 2 -4
23 CWE-190 Integer Overflow or Wraparound 3.37 3 -9
24 CWE-400 Uncontrolled Resource Consumption 3.23 0 +13
25 CWE-306 Missing Authentication for Critical Function 2.73 5 -5
CISA veröffentlicht außerdem regelmäßig „Secure by Design“-Warnungen, die auf die Verbreitung allgemein bekannter und dokumentierter Schwachstellen hinweisen, die trotz verfügbarer und wirksamer Abhilfemaßnahmen noch nicht aus der Software beseitigt wurden.
Einige wurden als Reaktion auf anhaltende böswillige Aktivitäten herausgegeben, wie etwa eine Warnung im Juli, in der Anbieter aufgefordert wurden, Schwachstellen bei der Befehlseinschleusung im Betriebssystem zu beseitigen, die von Hackern des chinesischen Bundesstaats Velvet Ant bei jüngsten Angriffen auf Netzwerk-Edge-Geräte von Cisco , Palo Alto und Ivanti ausgenutzt wurden .
Im Mai und März veröffentlichte die Cybersicherheitsbehörde zwei weitere „Secure by Design“-Warnungen, in denen sie Technologiemanager und Softwareentwickler dazu aufforderte, Path Traversal- und SQL-Injection (SQLi) -Schwachstellen in ihren Produkten und Codes zu verhindern.
CISA forderte außerdem Technologieanbieter auf, den Versand von Software und Geräten mit Standardkennwörtern einzustellen, und forderte Hersteller von Routern für kleine Büros/Heimbüros (SOHO) auf, sie vor Volt-Typhoon-Angriffen zu schützen .
Letzte Woche veröffentlichten das FBI, die NSA und die Cybersicherheitsbehörden von Five Eyes eine Liste der 15 am häufigsten ausgenutzten Sicherheitslücken des letzten Jahres und warnten davor, dass sich die Angreifer auf Zero-Days (Sicherheitslücken, die bekannt wurden, aber noch behoben werden müssen) konzentrieren ).
„Im Jahr 2023 wurde die Mehrheit der am häufigsten ausgenutzten Schwachstellen zunächst als Zero-Day ausgenutzt, was einen Anstieg gegenüber 2022 darstellt, als weniger als die Hälfte der am häufigsten ausgenutzten Schwachstellen als Zero-Day ausgenutzt wurden“, warnten sie.