A MITRE divulgou sua lista anual das 25 “fraquezas de software mais perigosas” para o ano de 2023.
“Essas fraquezas levam a sérias vulnerabilidades no software”, disse a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA). “Um invasor geralmente pode explorar essas vulnerabilidades para assumir o controle de um sistema afetado, roubar dados ou impedir que os aplicativos funcionem.”
A lista é baseada em uma análise de dados de vulnerabilidade pública nos Dados Nacionais de Vulnerabilidade (NVD) para mapeamentos de causa raiz para fraquezas CWE nos dois anos anteriores. Um total de 43.996 entradas CVE foram examinadas e uma pontuação foi anexada a cada uma delas com base na prevalência e gravidade.
Saindo na frente está Gravação fora dos limites, seguida por Cross-site Scripting, SQL Injection, Use After Free, Injeção de comando do sistema operacional, Validação de entrada imprópria, Leitura fora dos limites, Path Traversal, Cross-Site Request Forgery (CSRF) e Upload irrestrito de arquivo com tipo perigoso. Fora dos limites Write também assumiu o primeiro lugar em 2022.
70 vulnerabilidades adicionadas ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) em 2021 e 2022 foram bugs de gravação fora dos limites. Uma categoria de fraqueza que caiu fora do Top 25 é Restrição Indevida de Referência de Entidade Externa XML.
“A análise de tendências em dados de vulnerabilidade como esse permite que as organizações tomem melhores decisões de investimento e políticas no gerenciamento de vulnerabilidades”, disse a equipe de pesquisa Common Weakness Enumeration (CWE).
Além do software, o MITRE também mantém uma lista de fraquezas importantes de hardware com o objetivo de “prevenir problemas de segurança de hardware na origem, educando designers e programadores sobre como eliminar erros importantes no início do ciclo de vida de desenvolvimento do produto”.
A divulgação ocorre no momento em que a CISA, juntamente com a Agência de Segurança Nacional dos EUA (NSA), divulgou recomendações e melhores práticas para as organizações fortalecerem seus ambientes de Integração Contínua/Entrega Contínua (CI/CD) contra agentes cibernéticos mal-intencionados.
Isso inclui a implementação de algoritmos criptográficos fortes ao configurar aplicativos em nuvem, minimizando o uso de credenciais de longo prazo, adicionando assinatura de código segura, utilizando regras de duas pessoas (2PR) para revisar confirmações de código do desenvolvedor, adotando o princípio de privilégio mínimo (PoLP), usando segmentação de rede e auditando regularmente contas, segredos e sistemas.
“Ao implementar as mitigações propostas, as organizações podem reduzir o número de vetores de exploração em seus ambientes de CI/CD e criar um ambiente desafiador para o adversário penetrar”, disseram as agências.
O desenvolvimento também segue novas descobertas da Censys de que quase 250 dispositivos executados em várias redes do governo dos EUA expuseram interfaces de gerenciamento remoto na web aberta, muitos dos quais executam protocolos remotos como SSH e TELNET.
“As agências FCEB são obrigadas a tomar medidas em conformidade com o BOD 23-02 dentro de 14 dias após a identificação de um desses dispositivos, seja protegendo-o de acordo com os conceitos da Zero Trust Architecture ou removendo o dispositivo da internet pública”, disseram os pesquisadores da Censys.
As interfaces de gerenciamento remoto acessíveis ao público emergiram como uma das vias mais comuns para ataques de hackers e cibercriminosos do Estado-nação, com a exploração do protocolo de área de trabalho remota (RDP) e VPNs se tornando uma técnica de acesso inicial preferida no ano passado, de acordo com um novo relatório da ReliaQuest.
+ There are no comments
Add yours