Lista najopasnijih softverskih slabosti za 2021 godinu.

25 najopasnijih softverskih ranjivosti na koje treba paziti

Mitre objavljuje listu najopasnijih softverskih slabosti, detaljno opisujući najčešće ranjivosti koje sajber kriminalcima mogu pružiti mogućnost pristupa mašinama radi krađe podataka ili izazivanja otkaza.

Mitre je objavio svoj pregled najrasprostranjenijih i najkritičnijih ranjivosti u softveru  (lista softverskih slabosti), od kojih je mnoge lako pronaći, a sajber kriminalci ih mogu iskoristiti za preuzimanje sistema, krađu podataka ili krah aplikacija, pa čak i računara.

25 najpopularnijih najopasnijih softverskih slabosti u 2021 Common Common Enumeration Enumeration (CVE) opisuje najčešće i najuticajnije bezbednosne probleme.

Spisak liste softverskih slabosti se zasniva na objavljenim podacima o zajedničkim ranjivostima i izloženostima (CVE), kao i na podacima Nacionalne baze podataka o ranjivostima (NVD) Nacionalnog instituta za standarde i tehnologiju (NIST) i ocena CVE-a na osnovu sistema zajedničkog ocenjivanja ranjivosti (CVSS).

Vrh liste sa najvećom ocenom po nekoj margini je CWE-787:Out-of-bounds Write, ranjivost u kojoj softver piše pre kraja ili pre početka predviđenog bafera. Kao i mnoge ranjivosti na listi, ovo može dovesti do oštećenja podataka i sistema koji padaju, kao i do mogućnosti napadača da izvrše kod.

„Ove slabosti su opasne jer ih je često lako pronaći, iskoristiti i mogu omogućiti kriminalcima da u potpunosti preuzmu sistem, ukradu podatke ili spreče rad neke aplikacije“.

Mitre Corporation je američka neprofitna organizacija koja stoji iza okvira MITRE ATT&CK framework  – globalno dostupne baze znanja protivničkih taktika i tehnika zasnovanih na stvarnim zapažanjima.

Drugi na listi je CWE-79: Nepravilna neutralizacija unosa tokom generisanja veb stranica, ranjivost kod skriptiranja na više lokacija koja ne ispravno neutrališe ulaze pre nego što se postavi kao izlazi na veb lokaciji. To može dovesti do toga da napadači mogu ubrizgati zlonamernu skriptu i omogućiti im krađu osetljivih podataka i slanje drugih zlonamernih zahteva, posebno ako mogu da steknu administratorske privilegije.

Treći na listi je CWE-125: Out-of-bounds Read, ranjivost koja napadačima može omogućiti čitanje osetljivih informacija sa drugih memorijskih lokacija ili prouzrokovanje pada.

Otklanjanje ranjivosti

Iako su mnoge ranjivosti potencijalno veoma štetne ako ih cyber kriminalci otkriju i iskoriste, slabostima se često može suprotstaviti, posebno onima za koje je dostupna sigurnosna zakrpa. Primena bezbednosnih zakrpa za otklanjanje poznatih ranjivosti jedna je od ključnih stvari koje organizacije mogu učiniti kako bi zaštitile svoje mreže od cyber napada i upada.

Top 20 CWE 2021 koristi NVD podatke iz 2019. i 2020. godine, koji se sastoje od približno 32.500 CWE-a povezanih sa slabostima. Kompletna lista je dostupna na veb stranici CWE.