Компания MITRE представилаобновлённый список из 25 наиболее опасных уязвимостей программного обеспечения, которые были выявлены среди 31 770 идентификаторов CVE с июня 2023 по июнь 2024 года. Эти уязвимости приводят к критическим сбоям, позволяя злоумышленникам получать контроль над системами, воровать данные и запускать атаки типа отказа в обслуживании.
Ключевые слабости в программном обеспечении связаны с ошибками в коде, архитектуре и дизайне. MITRE подчёркивает, что такие проблемы часто легко находить и использовать, что делает их серьёзной угрозой для систем. В этом году рейтинг основывался на анализе уязвимостей, включённых в каталог известных эксплуатируемых уязвимостей CISA (KEV).
CISA добавила, что приоритетное внимание к этим проблемам помогает разработчикам предотвращать уязвимости ещё на этапе создания программного обеспечения. В списке выделены такие опасности, как межсайтовый скриптинг ( CWE-79 ), запись за пределами выделенной памяти ( CWE-787 ) и SQL-инъекции ( CWE-89 ).
Также была подчёркнута важность устранения известных проблем. Например, агентства по кибербезопасности, входящие в альянс Five Eyes, в прошлом месяце выпустили совместный отчёт, в котором указали, что большинство часто эксплуатируемых уязвимостей в 2023 году были связаны с атаками типа zero-day, когда уязвимость была известна, но не устранена.
Особое внимание в отчёте уделено устранению проблем, связанных с использованием стандартных паролей, неправильной аутентификацией и выполнением команд ОС. CISA настоятельно рекомендует внедрять подходы “Secure by Design”, чтобы исключать подобные уязвимости ещё на стадии проектирования.
В дополнение к рейтингу, MITRE указала на необходимость пересмотра инвестиций и стратегий в области кибербезопасности. Это позволит не только снизить риски, но и повысить устойчивость IT-систем перед лицом всё более сложных угроз.