Правительство США составило рейтинг самых распространенных и значимых слабых мест программного обеспечения, которые приводят к опасным уязвимостям в системах и приложениях.
Список CWE Top 25 был подготовлен специалистами Института HSSEDI (Homeland Security Systems Engineering and Development Institute), работающего под эгидой Министерства внутренней безопасности и некоммерческой организации MITRE.
CWE (Common Weakness Enumeration) – это стандарт, который описывает типы уязвимостей ПО, таких как ошибки, баги, недостатки и другие. CWE отличается от CVE (Common Vulnerabilities and Exposures), который присваивает номер каждой конкретной уязвимости, обнаруженной в программном обеспечении.
Список CWE Top 25 рассчитывается путем анализа публичных данных об уязвимостях в Национальной базе данных уязвимостей ( National Vulnerability Database, NVD ) за последние 2 календарных года. Также учитываются данные об уязвимостях, которые эксплуатировались злоумышленниками в реальных атаках, согласно Каталогу известных эксплуатируемых уязвимостей CISA ( Known Exploited Vulnerabilities, KEV ).
- Во главе рейтинга – запись за пределами границ, которая может привести к переполнению буфера и исполнению произвольного кода.
- На втором месте – межсайтовый скриптинг (XSS), который позволяет внедрять злонамеренный код на веб-страницы и похищать данные пользователей.
- На третьем месте – SQL-инъекция, которая дает возможность выполнять произвольные запросы к базам данных и получать доступ к конфиденциальной информации.
Агентство по кибербезопасности и защите инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) рекомендует разработчикам и командам по безопасности продуктов ознакомиться со списком CWE Top 25 и принять необходимые меры для предотвращения или снижения риска возникновения уязвимостей. Агентство также планирует опубликовать дополнительные статьи, посвященные методологии расчета рейтинга, тенденциям в отображении уязвимостей и другим полезным темам.
Американские агентства по кибербезопасности CISA и NSA заявили в своём недавнем совместном руководстве , что контроллеры управления базовой платой (BMC) – это слабое звено в системах критической инфраструктуры, которое может быть использовано злоумышленниками для получения доступа к сетям и данным.
BMC делает возможным удалённое управление и контроль компьютерами и серверами даже при выключенной системе. Однако из-за их высокого уровня привилегий и доступности из сети – эти устройства часто привлекают внимание злоумышленников, которые могут использовать их в качестве точки входа для различных кибератак.
Напомним, что популярный репозиторий для разработчиков NPM страдает от проблемы безопасности , называемой “путаница в манифестах” (Manifest Confusion), которая подрывает доверие к пакетам и даёт возможность злоумышленникам прятать вредоносный код в зависимостях или выполнять злонамеренные скрипты при установке пакетов.