MITRE ha publicado su lista de las 25 principales exposiciones a vulnerabilidades comunes (CVE).
Los ganadores según Mitre fueron seleccionados de aproximadamente 27,000 CVE en la Base de Datos Nacional de Vulnerabilidad Americana y representan las debilidades más comunes y peligrosas de los últimos dos años (2019-2020).
De un vistazo rápido, 9 de las 25 principales debilidades de seguridad del software actual involucran identidades de alguna forma: autenticación, robo de credenciales, suplantación y autorización. Es obvio que obtener credenciales en la empresa, para el acceso inicial y persistente a la empresa, es un objetivo de los piratas informáticos.
El acceso robado es el “regalo que sigue dando”, que permite a los piratas informáticos “aterrizar y expandirse” en nuestros sistemas de TI mediante la ejecución de metodologías
La lista proporciona descripciones y enlaces de investigación para cada una de las debilidades con ejemplos de cómo se podría abusar de ellas.
La Enumeración de debilidades comunes de 2021 (CWE) .Las 25 debilidades de software más peligrosas (CWE Top 25) es una lista demostrativa de los problemas más comunes e impactantes experimentados durante los dos años calendario anteriores. Estas debilidades son peligrosas porque a menudo son fáciles de encontrar, explotar y pueden permitir que los adversarios se apoderen completamente de un sistema, roben datos o impidan que una aplicación funcione.
El CWE Top 25 es un valioso recurso de la comunidad que puede ayudar a los desarrolladores, evaluadores y usuarios, así como a los gerentes de proyectos, investigadores de seguridad y educadores, a proporcionar información sobre las debilidades de seguridad más graves y actuales.
Para crear la lista de 2021, el Equipo de CWE apalancado exposiciones (CVE®) Común vulnerabilidades y los datos encontrados en el Instituto Nacional de Estándares y Tecnología (NIST) de la National Vulnerability Database (NVD) , así como los sistema de puntuación de vulnerabilidad común (CVSS) puntuaciones asociado con cada registro CVE. Se aplicó una fórmula a los datos para calificar cada debilidad en función de la prevalencia y la gravedad.
El Top 25 de CWE
A continuación se muestra una breve lista de las debilidades en el CWE Top 25 de 2021, incluida la puntuación general de cada una.
Mitre, Mitre, Mitre, Mitre, Mitre, Mitre, Mitre,itre, Mitre, Mitre,
| Rango | IDENTIFICACIÓN | Nombre | Puntaje | 2020 Cambio de rango |
|---|---|---|---|---|
| [1] | CWE-787 | Escritura fuera de límites | 65,93 | +1 |
| [2] | CWE-79 | Neutralización inadecuada de la entrada durante la generación de la página web (‘Scripting entre sitios’) | 46,84 | -1 |
| [3] | CWE-125 | Lectura fuera de límites | 24,9 | +1 |
| [4] | CWE-20 | Validación de entrada incorrecta | 20,47 | -1 |
| [5] | CWE-78 | Neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo (‘Inyección de comando del sistema operativo’) | 19.55 | +5 |
| [6] | CWE-89 | Neutralización incorrecta de elementos especiales utilizados en un comando SQL (‘Inyección SQL’) | 19.54 | 0 |
| [7] | CWE-416 | Usar después gratis | 16,83 | +1 |
| [8] | CWE-22 | Limitación incorrecta de un nombre de ruta a un directorio restringido (‘Ruta transversal’) | 14,69 | +4 |
| [9] | CWE-352 | Falsificación de solicitudes entre sitios (CSRF) | 14.46 | 0 |
| [10] | CWE-434 | Carga sin restricciones de archivo con tipo peligroso | 8.45 | +5 |
| [11] | CWE-306 | Falta autenticación para función crítica | 7,93 | +13 |
| [12] | CWE-190 | Desbordamiento de enteros o envolvente | 7.12 | -1 |
| [13] | CWE-502 | Deserialización de datos que no son de confianza | 6,71 | +8 |
| [14] | CWE-287 | Autenticación incorrecta | 6.58 | 0 |
| [15] | CWE-476 | Desreferencia del puntero NULO | 6.54 | -2 |
| [dieciséis] | CWE-798 | Uso de credenciales codificadas de forma rígida | 6.27 | +4 |
| [17] | CWE-119 | Restricción inadecuada de operaciones dentro de los límites de un búfer de memoria | 5,84 | -12 |
| [18] | CWE-862 | Falta la autorización | 5.47 | +7 |
| [19] | CWE-276 | Permisos predeterminados incorrectos | 5,09 | +22 |
| [20] | CWE-200 | Exposición de información confidencial a un actor no autorizado | 4,74 | -13 |
| [21] | CWE-522 | Credenciales insuficientemente protegidas | 4.21 | -3 |
| [22] | CWE-732 | Asignación incorrecta de permisos para recursos críticos | 4.2 | -6 |
| [23] | CWE-611 | Restricción incorrecta de la referencia de entidad externa XML | 4.02 | -4 |
| [24] | CWE-918 | Falsificación de solicitudes del lado del servidor (SSRF) | 3,78 | +3 |
| [25] | CWE-77 | Neutralización inadecuada de elementos especiales utilizados en un comando (‘Inyección de comando’) | 3,58 | +6 |