O MITRE compartilhou hoje a lista deste ano das 25 fraquezas mais perigosas que assolam o software nos últimos dois anos.
As fraquezas de software englobam uma ampla gama de problemas, incluindo falhas, bugs, vulnerabilidades e erros no código, arquitetura, implementação ou design das soluções de software.
Essas fraquezas podem comprometer a segurança dos sistemas nos quais o software está instalado e em execução.
Elas podem fornecer um ponto de entrada para atores maliciosos que tentam obter controle sobre os dispositivos afetados, acessar dados sensíveis ou desencadear estados de negação de serviço.
"Essas fraquezas levam a vulnerabilidades graves no software.
Um invasor muitas vezes pode explorar essas vulnerabilidades para assumir o controle de um sistema afetado, roubar dados ou impedir que aplicativos funcionem", alertou hoje a CISA.
Para criar essa lista, o MITRE atribuiu uma pontuação a cada fraqueza com base em sua gravidade e prevalência após analisar 43.996 entradas CVE do National Vulnerability Database (NVD) do NIST para vulnerabilidades descobertas e relatadas ao longo de 2021 e 2022, com foco nos registros CVE adicionados ao catálogo Known Exploited Vulnerabilities (KEV) da CISA.
"Após o processo de coleta, escopo e mapeamento, uma fórmula de pontuação foi usada para calcular uma ordem de classificação das fraquezas que combina a frequência (o número de vezes que um CWE é a causa raiz de uma vulnerabilidade), com a gravidade média de cada uma dessas vulnerabilidades quando são exploradas (medida pelo escore CVSS)", disse o MITRE.
"Em ambos os casos, a frequência e a gravidade são normalizadas em relação aos valores mínimos e máximos observados no conjunto de dados."
As 25 principais fraquezas do MITRE de 2023 são perigosas devido ao seu impacto significativo e ocorrência generalizada em software lançado nos últimos dois anos.
A exploração bem-sucedida pode permitir que os invasores assumam o controle completo dos sistemas visados, colham e exfiltrem dados sensíveis ou desencadeiem uma negação de serviço (DoS).
Ao compartilhar essa lista, o MITRE fornece à comunidade em geral informações valiosas sobre as fraquezas de segurança de software mais críticas que exigem atenção imediata.
Em um esforço colaborativo envolvendo autoridades de cibersegurança em todo o mundo, uma compilação abrangente das 15 principais vulnerabilidades comumente exploradas em ataques ao longo de 2021 foi divulgada em abril de 2022.
Esse esforço conjunto envolveu organizações importantes como a NSA e o FBI.
Além disso, um inventário de bugs rotineiramente explorados em 2020 foi revelado pela CISA e pelo FBI em conjunto com o Australian Cyber Security Centre (ACSC) e o National Cyber Security Centre (NCSC) do Reino Unido.
A CISA e o FBI também compartilharam um catálogo com as 10 falhas de segurança mais frequentemente exploradas entre 2016 e 2019.
Por fim, o MITRE também oferece uma lista que descreve as falhas de segurança mais perigosas de programação, design e arquitetura que assolam os sistemas de hardware.
"A CISA incentiva desenvolvedores e equipes de resposta de segurança de produtos a revisarem a CWE Top 25 e avaliarem as mitigação recomendadas para determinar as mais adequadas para adotar", acrescentou a CISA hoje.
"Nas próximas semanas, o programa CWE publicará uma série de artigos adicionais sobre a metodologia CWE Top 25, tendências de mapeamento de vulnerabilidades e outras informações úteis que ajudam a ilustrar como a gestão de vulnerabilidades desempenha um papel importante na Mudança do Equilíbrio do Risco de Cibersegurança."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...