MITRE представила список 25 самых распространённых и опасных уязвимостей программного обеспечения этого года. Всего было обнаружено более 31 тысячи уязвимостей в период с июня 2023 года по июнь 2024-го.
Под уязвимостями программного обеспечения понимаются недостатки, ошибки, уязвимости и ошибки, обнаруженные в коде, архитектуре, реализации или дизайне программного обеспечения. Злоумышленники могут использовать их для взлома систем, в которых работает уязвимое ПО, что позволяет им получить контроль над затронутыми устройствами и доступ к конфиденциальным данным, либо инициировать атаки типа «отказ в обслуживании». «Зачастую их легко обнаружить и использовать, но они могут привести к эксплуатируемым уязвимостям, которые позволяют злоумышленникам полностью захватить систему, украсть данные или помешать работе приложений», — заявили в MITRE.
Для создания рейтинга этого года организация оценила каждую уязвимость на основе её серьезности и частоты выявления. Всего эксперты проанализировали 31 770 записей CVE, которые были представлены в отчётах за 2023 и 2024 годы, уделяя особое внимание недостаткам безопасности, добавленным в каталог известных эксплуатируемых уязвимостей (KEV) CISA.
«В этом ежегодном списке указаны наиболее критические уязвимости программного обеспечения, которые злоумышленники часто используют для взлома систем, кражи конфиденциальных данных или нарушения работы основных служб. Организациям настоятельно рекомендуется ознакомиться с этим списком и использовать его для информирования своих стратегий безопасности программного обеспечения», — отметили в CISA.
Ранее организация выпустила оповещение, в котором поставщикам предлагалось устранить уязвимости внедрения команд ОС path, которые использовались китайскими хакерами Velvet Ant в недавних атаках на сетевые периферийные устройства Cisco, Palo Alto и Ivanti. В мае и марте агентство по кибербезопасности опубликовало ещё два предупреждения «Secure by Design», призывая руководителей и разработчиков программного обеспечения предотвращать уязвимости обхода пути и SQL-инъекции (SQLi) в своих продуктах и коде.
CISA также призвало поставщиков технологий прекратить поставки программного обеспечения и устройств с паролями по умолчанию, а производителей маршрутизаторов для малых офисов/домашних офисов (SOHO) — защитить их от атак Volt Typhoon.
На прошлой неделе ФБР, АНБ и органы по кибербезопасности Five Eyes опубликовали список из 15 наиболее часто используемых уязвимостей безопасности в прошлом году, предупредив, что злоумышленники сосредоточились на атаках нулевого дня.
Со списком 25 самых опасных программных ошибок и уязвимостей 2023 года можно ознакомиться здесь.
Источник: habr.com
