MITRE compartió la lista de este año de las 25 debilidades más peligrosas que plagaron el software durante los dos años anteriores.
Las debilidades de software abarcan una amplia gama de problemas, incluidos defectos, errores, vulnerabilidades y errores en el código, la arquitectura, la implementación o el diseño de las soluciones de software.
Las debilidades pueden poner en peligro la seguridad de los sistemas en los que se instala y ejecuta el software. Pueden proporcionar un punto de entrada para los actores malintencionados que intentan obtener el control de los dispositivos afectados, acceder a datos confidenciales o activar estados de denegación de servicio.
«Estas debilidades conducen a serias vulnerabilidades en el software. Un atacante a menudo puede explotar estas vulnerabilidades para tomar el control de un sistema afectado, robar datos o evitar que las aplicaciones funcionen», advirtió CISA hoy.
Para crear esta lista, MITRE calificó cada debilidad en función de su gravedad y prevalencia después de analizar 43,996 entradas de CVE de la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST para detectar vulnerabilidades descubiertas e informadas en 2021 y 2022, y un enfoque en los registros CVE agregados al catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA.
«Después del proceso de recopilación, alcance y reasignación, se utilizó una fórmula de puntuación para calcular un orden de clasificación de debilidades que combina la frecuencia (el número de veces que un CWE es la causa raíz de una vulnerabilidad), con la gravedad promedio de cada una de esas vulnerabilidades cuando se explotan (según lo medido por la puntuación CVSS), » Dijo MITRE.
«En ambos casos, la frecuencia y la gravedad se normalizan en relación con los valores mínimos y máximos observados en el conjunto de datos».
Las 2023 principales debilidades de MITRE en 25 son peligrosas debido a su impacto significativo y su ocurrencia generalizada en el software lanzado en los últimos dos años.
La explotación exitosa puede permitir a los atacantes tomar el control completo de los sistemas objetivo, recopilar y filtrar datos confidenciales o desencadenar una denegación de servicio (DoS).
Al compartir esta lista, MITRE proporciona a la comunidad en general información valiosa sobre las debilidades de seguridad de software más críticas que requieren atención inmediata.
Advertencias sobre errores de software y hardware
En un esfuerzo de colaboración que involucra a las autoridades de ciberseguridad de todo el mundo, en abril de 15 se lanzó una compilación exhaustiva de las 2021 principales vulnerabilidades comúnmente explotadas en ataques a lo largo de 2022. Este esfuerzo conjunto involucró a organizaciones notables como la NSA y el FBI.
Además, CISA y el FBI revelaron un inventario de errores explotados rutinariamente en 2020 junto con el Centro Australiano de Seguridad Cibernética (ACSC) y el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC).
CISA y el FBI también han compartido un catálogo con las 10 fallas de seguridad más explotadas entre 2016 y 2019.
Finalmente, MITRE también ofrece una lista que describe las fallas de seguridad de programación, diseño y arquitectura más peligrosas que afectan a los sistemas de hardware.
«CISA alienta a los desarrolladores y equipos de respuesta de seguridad de productos a revisar el CWE Top 25 y evaluar las mitigaciones recomendadas para determinar las más adecuadas para adoptar», agregó CISA.
«En las próximas semanas, el programa CWE publicará una serie de artículos adicionales sobre la metodología CWE Top 25, tendencias de mapeo de vulnerabilidades y otra información útil que ayude a ilustrar cómo la gestión de vulnerabilidades juega un papel importante en Cambiar el equilibrio del riesgo de ciberseguridad».
Fuente y redacción: underc0de.org
