Los expertos de MITRE han publicado una lista de los 25 problemas más comunes y peligrosos de 2022. Estos errores pueden potencialmente exponer los sistemas a ataques., permitir a los atacantes tomar el control de dispositivos vulnerables, acceder a información sensible, o causar una denegación de servicio.
A propósito, También nos encantan todo tipo de listas y tops., por ejemplo: Principales amenazas que detecta Gridinsoft Anti-Malware, o aquí hay otro: Principales datos sobre los ataques de adware que debemos recordar hoy.
Esta vez, la lista fue compilada con el apoyo del Instituto Nacional de Diseño e Ingeniería de Sistemas de Seguridad y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). Curiosamente, Hace unos años, la lista se construyó a partir de encuestas y entrevistas personales con desarrolladores., analistas de seguridad líderes, investigadores, y vendedores.
Los problemas en la lista tienen sus propios identificadores CWE (no confundir con CVE) – Enumeración de debilidades comunes. CWE se diferencia de CVE en que, en realidad, los primeros son los predecesores de los segundos, eso es, CWE conduce directamente a la aparición de vulnerabilidades.
Los CWE se dividen en más de 600 categorías que combinan clases muy amplias de problemas diversos, como CWE-20 (validación de entrada incorrecta), CWE-200 (divulgación de información), y CWE-287 (autenticación incorrecta).
INGLETE informa que el conjunto de datos utilizado para compilar el nuevo top contenía un total de 37,899 ID CVE de los últimos dos años calendario. También esta vez, la metodología de cálculo ha cambiado ligeramente: La lista se basa en información de la NVD (Base de datos nacional de vulnerabilidad) y las vulnerabilidades explotadas conocidas (KEV) catalogar, que CISA comenzó a recopilar en 2021. Actualmente, KEV contiene información sobre 800 vulnerabilidades conocidas utilizadas en ataques.
Los errores más peligrosos en MITRE siguen siendo aquellos que son fáciles de detectar, tener un alto impacto, y están muy extendidos en el software lanzado en los últimos dos años..
El arriba 25 Problemas identificados por los expertos de MITRE. se puede ver en la siguiente tabla.
Lugar | IDENTIFICACIÓN | Problema | Calificación | Número de KEV (CVE) | Cambiar de 2021 |
1 | CWE-787 | Entrada fuera de límites | 64,2 | 62 | 0 |
2 | CWE-79 | Neutralización de entrada incorrecta durante la creación de una página web (secuencias de comandos entre sitios) | 45,97 | 2 | 0 |
3 | CWE-89 | Neutralización incorrecta de elementos especiales utilizados en comandos SQL (inyección SQL) | 22,11 | 7 | 3 |
4 | CWE-20 | Validación de entrada incorrecta | 20,63 | 20 | 0 |
5 | CWE-125 | Lectura fuera de límites | 17,67 | 1 | -2 |
6 | CWE-78 | Neutralización incorrecta de elementos especiales utilizados en los comandos del sistema operativo (inyección de comando) | 17,53 | 32 | -1 |
7 | CWE-416 | Usar después gratis | 15,5 | 28 | 0 |
8 | CWE-22 | Recorrido del directorio | 14,08 | 19 | 0 |
9 | CWE-352 | Falsificación de solicitudes entre sitios (CSRF) | 11,53 | 1 | 0 |
10 | CWE-434 | Descargas ilimitadas de archivos peligrosos | 9,56 | 6 | 0 |
11 | CWE-476 | Desreferencia de puntero nulo | 7,15 | 0 | 4 |
12 | CWE-502 | Deserialización de datos que no son de confianza | 6,68 | 7 | 1 |
13 | CWE-190 | Desbordamiento o acarreo de enteros | 6,53 | 2 | -1 |
14 | CWE-287 | Autenticación no válida | 6,35 | 4 | 0 |
15 | CWE-798 | Uso de credenciales codificadas | 5,66 | 0 | 1 |
16 | CWE-862 | No autorización | 5,53 | 1 | 2 |
17 | CWE-77 | Neutralización incorrecta de elementos especiales utilizados en los comandos. (inyección de comando) | 5,42 | 5 | 8 |
18 | CWE-306 | Falta de autenticación para una función crítica | 5,15 | 6 | -7 |
19 | CWE-119 | Limitación incorrecta de operaciones dentro del buffer de memoria | 4,85 | 6 | -2 |
20 | CWE-276 | Permisos predeterminados no válidos | 4,84 | 0 | -1 |
21 | CWE-918 | Falsificación de solicitudes del lado del servidor (SSRF) | 4,27 | 8 | 3 |
22 | CWE-362 | Condición de carrera | 3,57 | 6 | 11 |
23 | CWE-400 | Consumo descontrolado de recursos | 3,56 | 2 | 4 |
24 | CWE-611 | Restricción incorrecta de enlaces a XML externo | 3,38 | 0 | -1 |
25 | CWE-94 | Control incorrecto sobre la generación de código. (inyección de código) | 3,32 | 4 | 3 |
En comparación con el 2021 arriba, tres tipos de vulnerabilidades han desaparecido de la lista: divulgación de información confidencial a un sujeto no autorizado (cayó al puesto 33), protección insuficiente de las credenciales (ahora en el puesto 38) y asignación incorrecta de permisos para recursos críticos (30º lugar).