Home / Technology / MITRE actualiza la lista de los 25 errores de software más peligrosos

MITRE actualiza la lista de los 25 errores de software más peligrosos

MITRE actualiza la lista de los 25 errores de software más peligrosos

MITRE compartió la lista de las 25 debilidades de software más comunes y peligrosas de los últimos dos años.

Las debilidades del software son fallas, errores, vulnerabilidades y varios otros tipos de errores que afectan el código, la arquitectura, la implementación o el diseño de una solución de software, exponiendo potencialmente los sistemas en ejecución a un ataque.

MITRE desarrolló la lista Top 25 utilizando datos de Vulnerabilidades y Exposiciones Comunes (CVE) de 2019 y 2020 tomados de la Base de Datos Nacional de Vulnerabilidades (NVD) (aproximadamente 27,000 CVE).

“Se utiliza una fórmula de puntuación para calcular un orden de clasificación de debilidades que coincide con la frecuencia con la que un CWE es la causa raíz de una vulnerabilidad con la gravedad proyectada de su explotación”, explicó MITRE.

“Este enfoque proporciona una visión objetiva de las vulnerabilidades que se ven actualmente en el mundo real, crea una base de rigor analítico construida sobre vulnerabilidades informadas públicamente en lugar de investigaciones y opiniones subjetivas, y hace que el proceso sea fácilmente repetible”.

Los 25 errores principales de MITRE en 2021 son peligrosos porque generalmente son fáciles de descubrir, tienen un alto impacto y son frecuentes en el software lanzado durante los últimos dos años.

Los atacantes también pueden abusar de ellos para tomar el control total de los sistemas vulnerables, robar datos confidenciales de los objetivos o desencadenar una denegación de servicio (DoS) después de una explotación exitosa.

La siguiente lista proporciona información a la comunidad en general sobre las debilidades de seguridad de software más críticas y actuales.

Clasificación YO IBA Nombre Puntuación
[1] CWE-787 Grabación fuera de límites 65,93
[2] CWE-79 Neutralización inadecuada de la entrada durante la generación de la página web (‘Scripting entre sitios’) 46,84
[3] CWE-125 Lectura fuera de límites 24,9
[4] CWE-20 Validación de entrada incorrecta 20,47
[5] CWE-78 Neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo (‘inyección de comando del sistema operativo’) 19.55
[6] CWE-89 Neutralización incorrecta de elementos especiales utilizados en un comando SQL (‘inyección SQL’) 19.54
[7] CWE-416 usar más tarde gratis 16,83
[8] CWE-22 Limitación incorrecta de un nombre de ruta a un directorio restringido (‘Recorrido de ruta’) 14,69
[9] CWE-352 Falsificación de solicitud entre sitios (CSRF) 14.46
[10] CWE-434 Carga de archivos sin restricciones con tipo peligroso 8.45
[11] CWE-306 Falta autenticación para función crítica 7,93
[12] CWE-190 Ráfaga completa o envolvente 7.12
[13] CWE-502 Deserialización de datos que no son de confianza 6,71
[14] CWE-287 Autenticación incorrecta 6.58
[15] CWE-476 Desreferencia del puntero NULO 6.54
[16] CWE-798 Uso de credenciales encriptadas 6.27
[17] CWE-119 Restricción inadecuada de operaciones dentro de los límites de un búfer de memoria. 5,84
[18] CWE-862 Falta la autorización 5.47
[19] CWE-276 Permisos predeterminados incorrectos 5,09
[20] CWE-200 Exposición de información confidencial a un actor no autorizado 4,74
[21] CWE-522 Credenciales con protección insuficiente 4.21
[22] CWE-732 Asignación de permisos incorrecta para recursos críticos 4.2
[23] CWE-611 Restricción de referencia de entidad externa XML incorrecta 4.02
[24] CWE-918 Falsificación de solicitudes del lado del servidor (SSRF) 3,78
[25] CWE-77 Neutralización inadecuada de elementos especiales utilizados en un comando (‘inyección de comando’) 3,58

Las 10 vulnerabilidades más explotadas

El año pasado, el 12 de mayo, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) también publicaron una lista de las 10 vulnerabilidades de seguridad más explotadas entre 2016 y 2019.

“De las 10 principales, las tres vulnerabilidades más utilizadas en los ciberactores patrocinados por el estado en China, Irán, Corea del Norte y Rusia son CVE-2017-11882, CVE-2017-0199 y CVE-2012-0158”, dijo CISA. “Las tres vulnerabilidades están relacionadas con la tecnología OLE de Microsoft”.

Los piratas informáticos chinos han explotado con frecuencia CVE-2012-0158 hasta diciembre de 2018, lo que demuestra que sus objetivos no han aplicado las actualizaciones de seguridad de inmediato y que los actores de amenazas continuarán tratando de abusar de los errores mientras no se solucionen.

Los atacantes también se han centrado en explotar las brechas de seguridad causadas por implementaciones apresuradas de servicios de colaboración en la nube como Office 365.

Las vulnerabilidades de Pulse Secure VPN (CVE-2019-11510) y Citrix VPN (CVE-2019-19781) sin parches también fueron objetivos favoritos el año pasado, luego del cambio al trabajo remoto causado por la pandemia de COVID-19 en curso.

CISA recomienda abandonar el software al final de su vida útil lo antes posible como la forma más fácil y rápida de mitigar los errores de seguridad antiguos que no se han solucionado.

La lista completa de las 10 fallas de seguridad más explotadas desde 2016 está disponible a continuación, con enlaces directos a sus entradas NVD.

CVE Malware asociado
CVE-2017-11882 Loki, FormBook, Pony / FAREIT
CVE-2017-09-19 FINSPY, LATENTBOT, Dridex
CVE-2017-5638 JexBoss
CVE-2012-0158 Dridex
CVE-2019-0604 Chopper China
CVE-2017-0143 Múltiples usando el kit de explotación EternalSynergy y EternalBlue
CVE-2018-4878 LLAMADA DE PERRO
CVE-2017-8759 FINSPY, FinFisher, WingBird
CVE-2015-1641 Toshliph, guerrero
CVE-2018-7600 gatito

About admin

Check Also

Con calificaciones * Resultados de segundo año intermedio AP en 2021 Nombre y conocimiento universitario

Con Marks * AP Intermediate, los resultados del segundo año 2021 se pueden verificar en …

Leave a Reply

Your email address will not be published. Required fields are marked *