Mitre publica las 25 vulnerabilidades más peligrosas

Mitre presentó el top 25 de los malware más peligrosos

Mitre presentó el top 25 de los malware más peligrosos

MITRE ha publicado su lista de las 25 principales exposiciones a vulnerabilidades comunes (CVE).

Los ganadores según Mitre fueron seleccionados de aproximadamente 27,000 CVE en la Base de Datos Nacional de Vulnerabilidad Americana y representan las debilidades más comunes y peligrosas de los últimos dos años (2019-2020).

De un vistazo rápido, 9 de las 25 principales debilidades de seguridad del software actual involucran identidades de alguna forma: autenticación, robo de credenciales, suplantación y autorización. Es obvio que obtener credenciales en la empresa, para el acceso inicial y persistente a la empresa, es un objetivo de los piratas informáticos.

Mitre marca las 25 vulnerabilidades que generan mayor riesgo

El acceso robado es el “regalo que sigue dando”, que permite a los piratas informáticos “aterrizar y expandirse” en nuestros sistemas de TI mediante la ejecución de metodologías

La lista proporciona descripciones y enlaces de investigación para cada una de las debilidades con ejemplos de cómo se podría abusar de ellas.

La Enumeración de debilidades comunes de 2021 (CWE) .Las 25 debilidades de software más peligrosas (CWE Top 25) es una lista demostrativa de los problemas más comunes e impactantes experimentados durante los dos años calendario anteriores. Estas debilidades son peligrosas porque a menudo son fáciles de encontrar, explotar y pueden permitir que los adversarios se apoderen completamente de un sistema, roben datos o impidan que una aplicación funcione. 

El CWE Top 25 es un valioso recurso de la comunidad que puede ayudar a los desarrolladores, evaluadores y usuarios, así como a los gerentes de proyectos, investigadores de seguridad y educadores, a proporcionar información sobre las debilidades de seguridad más graves y actuales.

Para crear la lista de 2021, el Equipo de CWE apalancado exposiciones (CVE®) Común vulnerabilidades y los datos encontrados en el Instituto Nacional de Estándares y Tecnología (NIST) de la National Vulnerability Database (NVD) , así como los sistema de puntuación de vulnerabilidad común (CVSS) puntuaciones asociado con cada registro CVE. Se aplicó una fórmula a los datos para calificar cada debilidad en función de la prevalencia y la gravedad.

El Top 25 de CWE

A continuación se muestra una breve lista de las debilidades en el CWE Top 25 de 2021, incluida la puntuación general de cada una.

Mitre, Mitre, Mitre, Mitre, Mitre, Mitre, Mitre,itre, Mitre, Mitre,

Rango IDENTIFICACIÓN Nombre Puntaje 2020 Cambio de rango
[1] CWE-787 Escritura fuera de límites 65,93 +1
[2] CWE-79 Neutralización inadecuada de la entrada durante la generación de la página web (‘Scripting entre sitios’) 46,84 -1
[3] CWE-125 Lectura fuera de límites 24,9 +1
[4] CWE-20 Validación de entrada incorrecta 20,47 -1
[5] CWE-78 Neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo (‘Inyección de comando del sistema operativo’) 19.55 +5
[6] CWE-89 Neutralización incorrecta de elementos especiales utilizados en un comando SQL (‘Inyección SQL’) 19.54 0
[7] CWE-416 Usar después gratis 16,83 +1
[8] CWE-22 Limitación incorrecta de un nombre de ruta a un directorio restringido (‘Ruta transversal’) 14,69 +4
[9] CWE-352 Falsificación de solicitudes entre sitios (CSRF) 14.46 0
[10] CWE-434 Carga sin restricciones de archivo con tipo peligroso 8.45 +5
[11] CWE-306 Falta autenticación para función crítica 7,93 +13
[12] CWE-190 Desbordamiento de enteros o envolvente 7.12 -1
[13] CWE-502 Deserialización de datos que no son de confianza 6,71 +8
[14] CWE-287 Autenticación incorrecta 6.58 0
[15] CWE-476 Desreferencia del puntero NULO 6.54 -2
[dieciséis] CWE-798 Uso de credenciales codificadas de forma rígida 6.27 +4
[17] CWE-119 Restricción inadecuada de operaciones dentro de los límites de un búfer de memoria 5,84 -12
[18] CWE-862 Falta la autorización 5.47 +7
[19] CWE-276 Permisos predeterminados incorrectos 5,09 +22
[20] CWE-200 Exposición de información confidencial a un actor no autorizado 4,74 -13
[21] CWE-522 Credenciales insuficientemente protegidas 4.21 -3
[22] CWE-732 Asignación incorrecta de permisos para recursos críticos 4.2 -6
[23] CWE-611 Restricción incorrecta de la referencia de entidad externa XML 4.02 -4
[24] CWE-918 Falsificación de solicitudes del lado del servidor (SSRF) 3,78 +3
[25] CWE-77 Neutralización inadecuada de elementos especiales utilizados en un comando (‘Inyección de comando’) 3,58 +6
92 / 100