Такие недостатки могут поставить под угрозу безопасность систем, где установлено и работает проблемное ПО. Они могут стать точкой входа для злоумышленников, пытающихся получить контроль над уязвимыми устройствами, помогут атакующим получить доступ к конфиденциальным данным или спровоцировать отказ в обслуживании.
Для составления этого списка аналитики MITRE детально изучили 43 996 идентификаторов CVE из Национальной базы данных уязвимостей (NVD) NIST, обнаруженных и описанных в 2021 и 2022 годах. Отдельное внимание эксперты уделили тем CVE, которые были добавлены в список известных эксплуатируемых уязвимостей (KEV), который составляют аналитики Агентства кибербезопасности и безопасности инфраструктуры (CISA).
Проблемы в списке имеют собственные идентификаторы CWE (не путать с CVE) — Common Weakness Enumeration. CWE отличаются от CVE тем, что, по сути, первые являются предшественниками вторых, то есть CWE приводят к появлению непосредственно уязвимостей.
CWE делятся более чем на 600 категорий, которые объединяют в себе весьма обширные классы разнообразных проблем, например, CWE-20 (некорректная проверка вводимых данных), CWE- 200 (раскрытие информации) и CWE-287 (некорректная аутентификация).
К наиболее опасным проблемам в MITRE по-прежнему относят недостатки, которые легко обнаружить, они оказывают сильное влияние и широко распространены в программном обеспечении, выпущенном за последние два года.
«CISA призывает всех разработчиков и группы реагирования на угрозы безопасности изучить список топ-25 CWE и оценить рекомендуемые меры по снижению рисков, чтобы определить наиболее подходящие для принятия», — рекомендуют в CISA.
Список топ-25 CWE, составленный специалистами MITRE, выглядит следующим образом:
Место | ID | Проблема | Оценка | Количество CVE в KEV | Изменения по сравнению с 2022 годом |
1 | CWE-787 | Out-of-bounds запись | 63.72 | 70 | 0 |
2 | CWE-79 | Некорректная нейтрализация ввода во время создания веб-страницы (XSS, межсайтовый скриптинг) | 45.54 | 4 | 0 |
3 | CWE-89 | Некорректная нейтрализация специальных элементов, используемых в командах SQL (SQL-инъекция) | 34.27 | 6 | 0 |
4 | CWE-416 | Use After Free | 16.71 | 44 | +3 |
5 | CWE-78 | Некорректная нейтрализация специальных элементов, используемых в командах ОС (инъекция команд) | 15.65 | 23 | +1 |
6 | CWE-20 | Некорректная проверка ввода | 15.50 | 35 | -2 |
7 | CWE-125 | Out-of-bounds чтение | 14.60 | 2 | -2 |
8 | CWE-22 | Обход каталога (Path Traversal) | 14.11 | 16 | 0 |
9 | CWE-352 | Подделка межсайтовых запросов (CSRF) | 11.73 | 0 | 0 |
10 | CWE-434 | Неограниченная загрузка файлов опасного типа | 10.41 | 5 | 0 |
11 | CWE-862 | Отсутствие авторизации | 6.90 | 0 | +5 |
12 | CWE-476 | Разыменование нулевого указателя | 6.59 | 0 | -1 |
13 | CWE-287 | Некорректная аутентификация | 6.39 | 10 | +1 |
14 | CWE-190 | Целочисленное переполнение или перенос | 5.89 | 4 | -1 |
15 | CWE-502 | Десериализация недоверенных данных | 5.56 | 14 | -3 |
16 | CWE-77 | Некорректная нейтрализация специальных элементов, используемых в командах (инъекция команд) | 4.95 | 4 | +1 |
17 | CWE-119 | Некорректное ограничение операций в пределах буфера памяти | 4.75 | 7 | +2 |
18 | CWE-798 | Использование жестко закодированных учетных данных | 4.57 | 2 | -3 |
19 | CWE-918 | Подделка запросов на стороне сервера (SSRF) | 4.56 | 16 | +2 |
20 | CWE-306 | Отсутствие аутентификации для критической функции | 3.78 | 8 | -2 |
21 | CWE-362 | Провоцирование состояния гонки | 3.53 | 8 | +1 |
22 | CWE-269 | Некорректное управление привилегиями | 3.31 | 5 | +7 |
23 | CWE-94 | Некорректный контроль над генерацией кода (инъекции кода) | 3.30 | 6 | +2 |
24 | CWE-863 | Некорректная авторизация | 3.16 | 0 | +4 |
25 | CWE-276 | Неверные разрешения по умолчанию | 3.16 | 0 | -5 |