کارشناسان MITRE، هجدهم نوامبر ۲۰۲۴، لیستی از 25 آسیب پذیری رایج و خطرناک در نرم افزارها را برای سال جاری منتشر کردند. این لیست، مهمترین نقاط ضعف نرم افزاری را که هکرها غالباً برای نفوذ به سیستمها، سرقت دادههای حساس یا اختلال در سرویسهای حیاتی، سوء استفاده میکنند، بصورت سالانه مشخص میکند.
این لیست که با همکاری آژانس امنیت سایبری و زیرساخت (CISA) تهیه شده است، یک منبع مهم برای توسعه دهندگان، متخصصان امنیت و سازمانهایی است که به دنبال تقویت سیستم دفاعی و امنیت سایبری خود هستند.
اولویت بندی این نقاط ضعف در فرآیند تولید و توسعه نرم افزار به جلوگیری از آسیب پذیری در هسته چرخه حیات نرم افزار کمک میکند. لیست منتشر شده متعلق به حدود 31000 آسیب پذیری شناسایی شده بین ژوئن 2023 تا ژوئن 2024 است.
MITRE در واقع برای تعریف سطح بحرانی نقاط ضعف نرم افزارها، ۳۱,۷۷۰ مورد CVE گزارش شده در سالهای 2023 و 2024 را با تمرکز بر موضوعاتی که توسط آژانس ایالات متحده به لیست کاتالوگ KEV اضافه شده است، تجزیه و تحلیل کرده است.
آسیب پذیری در نرم افزار به معنای انواع مشکلات، باگها و خطاهای موجود در کد، معماری، اجرا یا طراحی نرم افزار میباشد. چنین تهدیداتی میتوانند امنیت سیستمهایی که نرم افزار بر روی آنها نصب شدهاند، به خطر بیاندازند. آنها میتوانند به یک نقطه ورود برای هکرها که سعی در کنترل دستگاههای آسیب پذیر دارند، تبدیل شوند و به مهاجمان کمک کنند تا به دادههای محرمانه دسترسی پیدا کنند و یا حمله DoS را راه اندازی نمایند.
غالباً چنین تهدیداتی به راحتی قابل تشخیص و اکسپلویت هستند و میتوانند منجر به آسیب پذیریهایی شوند که به مهاجمان اجازه میدهند تا دسترسی کامل به سیستم پیدا کنند، دادهها را بربایند و یا در عملکرد برنامه اختلال ایجاد کنند.
CVE و CWE به ترتیب مخفف عبارتهای common vulnerabilities and exposures و Common Weakness Enumeration میباشند. به عبارت ساده، CVE لیستی از آسیب پذیریهای امنیتی شناخته شده است که توسط بانک اطلاعاتی ملی آسیب پذیری (NVD) نگهداری میشود، در حالی که CWE لیستی از ضعفهای نرم افزاری رایج است.
در سال 2024 ، تقریباً 1000 دسته مختلف برای CWE شناسایی شده است که کلاسهای بسیار گستردهای از مشکلات مختلف را ترکیب میکند. لیست ۲۵ مورد از مهمترین و رایج ترین CWEهای تهیه شده توسط MITRE به شرح زیر است:
رتبه | ID | ضعف | ارزیابی | کمیت KEV (یا CVE) | در مقایسه با سال 2023 |
1 | Incorrect neutralization of input during web page generation (XSS, cross-site scripting) | 56.92 | 3 | +1 | |
2 | Out-of-bounds record | 45.20 | 18 | -1 | |
3 | SQL injection | 35.88 | 4 | 0 | |
4 | Interreaction of cross-site requests (CSRF) | 19.57 | 0 | +5 | |
5 | Catalog bypass (Path Traversal) | 12.74 | 4 | +3 | |
6 | Out-of-bounds Reading | 11.42 | 3 | +1 | |
7 | Injection of commands at the level of OS | 11.30 | 5 | -2 | |
8 | Use After Free | 10.19 | 5 | -4 | |
9 | Lack of authentication | 10.11 | 0 | +2 | |
10 | Unlimited downloading of dangerous type files | 10.03 | 0 | 0 | |
11 | Code injection | 7.13 | 7 | +12 | |
12 | Incorrect input check | 6.78 | 1 | -6 | |
13 | Command injection | 6.74 | 4 | +3 | |
14 | Incorrect authentication | 5.94 | 4 | -1 | |
15 | Incorrect management of privileges | 5.22 | 0 | +7 | |
16 | Des serialization of untrusted data | 5.07 | 5 | -1 | |
17 | Disclosure of sensitive data to an unauthorized person | 5.07 | 0 | +13 | |
18 | Incorrect authorization | 4.05 | 2 | +6 | |
19 | Forgery of requests on the server side (SSRF) | 4.05 | 2 | 0 | |
20 | Incorrect limitation of operations within memory buffer | 3.69 | 2 | -3 | |
21 | Zero Pointer Change | 3.58 | 0 | -9 | |
22 | Use of rigidly coded credented data | 3.46 | 2 | -4 | |
23 | Integer overflow or transfer | 3.37 | 3 | -9 | |
24 | Uncontrolled consumption of resources | 3.23 | 0 | +13 | |
25 | Lack of authentication for critical function | 2.73 | 5 | -5 |
