MITRE stellt die 25 gefährlichsten Softwareschwächen des Jahres 2024 vor!

MITRE stellt die 25 gefährlichsten Softwareschwächen des Jahres 2024 vor!

MITRE hat die diesjährige Top-25-Liste der häufigsten und gefährlichsten Softwareschwachstellen veröffentlicht, die hinter mehr als 31.000 Schwachstellen stehen, die zwischen Juni 2023 und Juni 2024 offengelegt wurden.

Softwareschwächen beziehen sich auf Mängel, Bugs, Schwachstellen und Fehler, die im Code, in der Architektur, in der Implementierung oder im Design der Software gefunden werden.
Angreifer können sie ausnutzen, um in Systeme einzudringen, auf denen die anfällige Software ausgeführt wird. Dadurch können sie die Kontrolle über betroffene Geräte erlangen und auf sensible Daten zugreifen oder Denial-of-Service-Angriffe auslösen.
„Diese sind oft leicht zu finden und auszunutzen und können zu ausnutzbaren Schwachstellen führen, die es Angreifern ermöglichen, ein System vollständig zu übernehmen, Daten zu stehlen oder die Funktionsfähigkeit von Anwendungen zu verhindern“, sagte MITRE heute.

„Das Aufdecken der Grundursachen dieser Schwachstellen dient als wirkungsvoller Leitfaden für Investitionen, Richtlinien und Praktiken, um das Auftreten dieser Schwachstellen von vornherein zu verhindern – was sowohl der Industrie als auch den Interessenvertretern der Regierung zugute kommt.“
Um das diesjährige Ranking zu erstellen, bewertete MITRE jede Schwachstelle anhand ihrer Schwere und Häufigkeit, nachdem sie 31.770 CVE-Datensätze auf Schwachstellen analysiert hatte, die „von einer Neuzuordnungsanalyse profitieren würden“ und über die Jahre 2023 und 2024 gemeldet wurden, wobei der Schwerpunkt auf Sicherheitslücken lag, die zu CISAs Known hinzugefügt wurden Katalog der ausgenutzten Sicherheitslücken (KEV).

„Diese jährliche Liste identifiziert die kritischsten Softwareschwachstellen, die Angreifer häufig ausnutzen, um Systeme zu gefährden, sensible Daten zu stehlen oder wichtige Dienste zu stören“, fügte CISA hinzu . heute
„Organisationen wird dringend empfohlen, diese Liste zu überprüfen und sie als Grundlage für ihre Software-Sicherheitsstrategien zu verwenden. Die Priorisierung dieser Schwachstellen in Entwicklungs- und Beschaffungsprozessen trägt dazu bei, Schwachstellen im Kern des Software-Lebenszyklus zu verhindern.“

Rank 	ID 	Name 	Score 	KEV CVEs 	Change
--------------------------------------------------------------
1 	CWE-79 	    Cross-site Scripting 	56.92 	3 	+1
2 	CWE-787 	Out-of-bounds Write 	45.20 	18 	-1
3 	CWE-89 	    SQL Injection 	  35.88 	4 	0
4 	CWE-352 	Cross-Site Request Forgery (CSRF) 	19.57 	0 	+5
5 	CWE-22 	    Path Traversal 	12.74 	4 	+3
6 	CWE-125 	Out-of-bounds Read 	11.42 	3 	+1
7 	CWE-78 	    OS Command Injection 	11.30 	5 	-2
8 	CWE-416 	Use After Free 	10.19 	5 	-4
9 	CWE-862 	Missing Authorization 	10.11 	0 	+2
10 	CWE-434 	Unrestricted Upload of File with Dangerous Type 	10.03 	0 	0
11 	CWE-94 	    Code Injection 	7.13 	7 	+12
12 	CWE-20 	    Improper Input Validation 	6.78 	1 	-6
13 	CWE-77 	    Command Injection 	6.74 	4 	+3
14 	CWE-287 	Improper Authentication 	5.94 	4 	-1
15 	CWE-269 	Improper Privilege Management 	5.22 	0 	+7
16 	CWE-502 	Deserialization of Untrusted Data 	5.07 	5 	-1
17 	CWE-200 	Exposure of Sensitive Information to an Unauthorized Actor 	5.07 	0 	+13
18 	CWE-863 	Incorrect Authorization 	4.05 	2 	+6
19 	CWE-918 	Server-Side Request Forgery (SSRF) 	4.05 	2 	0
20 	CWE-119 	Improper Operations Restriction in Memory Buffer Bounds 	3.69 	2 	-3
21 	CWE-476 	NULL Pointer Dereference 	3.58 	0 	-9
22 	CWE-798 	Use of Hard-coded Credentials 	3.46 	2 	-4
23 	CWE-190 	Integer Overflow or Wraparound 	3.37 	3 	-9
24 	CWE-400 	Uncontrolled Resource Consumption 	3.23 	0 	+13
25 	CWE-306 	Missing Authentication for Critical Function 	2.73 	5 	-5

CISA veröffentlicht außerdem regelmäßig „Secure by Design“-Warnungen, die auf die Verbreitung allgemein bekannter und dokumentierter Schwachstellen hinweisen, die trotz verfügbarer und wirksamer Abhilfemaßnahmen noch nicht aus der Software beseitigt wurden.

Einige wurden als Reaktion auf anhaltende böswillige Aktivitäten herausgegeben, wie etwa eine Warnung im Juli, in der Anbieter aufgefordert wurden, Schwachstellen bei der Befehlseinschleusung im Betriebssystem zu beseitigen, die von Hackern des chinesischen Bundesstaats Velvet Ant bei jüngsten Angriffen auf Netzwerk-Edge-Geräte von Cisco , Palo Alto und Ivanti ausgenutzt wurden .
Im Mai und März veröffentlichte die Cybersicherheitsbehörde zwei weitere „Secure by Design“-Warnungen, in denen sie Technologiemanager und Softwareentwickler dazu aufforderte, Path Traversal- und SQL-Injection (SQLi) -Schwachstellen in ihren Produkten und Codes zu verhindern.

CISA forderte außerdem Technologieanbieter auf, den Versand von Software und Geräten mit Standardkennwörtern einzustellen, und forderte Hersteller von Routern für kleine Büros/Heimbüros (SOHO) auf, sie vor Volt-Typhoon-Angriffen zu schützen .
Letzte Woche veröffentlichten das FBI, die NSA und die Cybersicherheitsbehörden von Five Eyes eine Liste der 15 am häufigsten ausgenutzten Sicherheitslücken des letzten Jahres und warnten davor, dass sich die Angreifer auf Zero-Days (Sicherheitslücken, die bekannt wurden, aber noch behoben werden müssen) konzentrieren ).
„Im Jahr 2023 wurde die Mehrheit der am häufigsten ausgenutzten Schwachstellen zunächst als Zero-Day ausgenutzt, was einen Anstieg gegenüber 2022 darstellt, als weniger als die Hälfte der am häufigsten ausgenutzten Schwachstellen als Zero-Day ausgenutzt wurden“, warnten sie.

1 Like