29 czerwca br. MITRE opublikowała zaktualizowaną listę 25 najbardziej niebezpiecznych słabości oprogramowania – Common Weakness Enumeration (CWE). Można ją znaleźć pod tym linkiem.
Lista stanowi dla nas inspirację nie tylko do wskazania najgroźniejszych podatności, ale również do opowiedzenia o samej organizacji. Zresztą o MITRE już pisaliśmy – a właściwie o stworzonej przez nią koncepcji ATT&CK. Post można znaleźć tutaj. Wówczas organizacja dokumentowała typowe taktyki, techniki i procedury wykorzystywane przez „zaawansowane zagrożenia” w sieciach korporacyjnych. Dzisiaj przyszedł czas na listę 25 najniebezpieczniejszych CWE w 2023 roku. Zestawienie to przedstawia najbardziej powszechne i znaczące słabości prowadzące do poważnych luk w oprogramowaniu, które są często wykorzystywane w złośliwych atakach: w przejęciach systemów, kradzieży informacji lub odmowy usługi (DoS). Ale po kolei – najpierw o samej organizacji.
CO TO JEST MITRE?
The Mitre Corporation to amerykańska organizacja non-profit z dwiema siedzibami głównymi w Bedford w stanie Massachusetts i McLean w Wirginii. Zarządza finansowanymi ze środków federalnych ośrodkami badawczo-rozwojowymi (FFRDC) wspierającymi różne agencje rządowe USA, między innymi w lotnictwie, obronie, opiece zdrowotnej, bezpieczeństwie wewnętrznym i cyberbezpieczeństwie.
MITRE powstała w 1958 roku jako wojskowy think tank wywodzący się z badań radarowych i komputerowych MIT Lincoln Laboratory. Z biegiem lat dziedzina badań MITRE znacznie się zróżnicowała. W latach 90., wraz z zakończeniem zimnej wojny, prywatne firmy skarżyły się, że MITRE ma nieuczciwą przewagę w konkurowaniu o kontrakty cywilne; w 1996 roku doprowadziło to do wydzielenia projektów cywilnych do nowej firmy Mitretek. Z kolei w 2007 roku Mitretek został przemianowany na Noblis.
JAKIE PODATNOŚCI WSKAZUJE MITRE? (I zmiany w rankingu)
Główną zmianą na szczycie tegorocznej listy jest pojawienie się luk typu „use-after-free” jako czwartej najniebezpieczniejszej słabości oprogramowania, w porównaniu z siódmą pozycją w zeszłym roku.
Dodatkowo błędy wstrzykiwania poleceń (niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu systemu operacyjnego) przesunęły się o jedną pozycję do góry, osiągając piąte miejsce.
Na liście nadal dominują luki związane z zapisem poza zakresem i skryptami krzyżowymi (XSS), a następnie błędy iniekcji SQL.
Warto zauważyć, że w tym roku w zestawieniu CWE dwa typy luk, a mianowicie niewłaściwe zarządzanie uprawnieniami oraz nieprawidłowa autoryzacja zostały ocenione jako dużo bardziej niebezpieczne niż w poprzednim zestawieniu (odpowiednio 22 miejsce w porównaniu z 29 i 24 z 28).
Niekontrolowane zużycie zasobów i niewłaściwe ograniczenie odniesień do podmiotu zewnętrznego XML (XXE) w tym roku znalazły się poza listą.
Według Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) lista 25 najbardziej niebezpiecznych CWE 2023 została zaktualizowana o dane dotyczące ostatnich CVE, które zostały uwzględnione w katalogu agencji Known Exploited Vulnerabilities (KEV).
„CWE Top 25 jest obliczany na podstawie analizy publicznych danych dotyczących podatności (NVD) pod kątem mapowania przyczyn źródłowych prowadzących do podatności CWE z poprzednich dwóch lat kalendarzowych” – wyjaśnia CISA.
W ciągu tego lata MITRE planuje opublikować dodatkowe materiały na temat metodologii CWE Top 25, trendów mapowania luk w zabezpieczeniach oraz innych informacji, które pomogą programistom i organizacjom lepiej zrozumieć i wykorzystać tę listę.
Deweloperom i zespołom ds. bezpieczeństwa zaleca się przejrzenie 25 najważniejszych CWE 2023 oraz ocenę i zastosowanie środków zaradczych tam, gdzie to możliwe.