Son muchas las vulnerabilidades que pueden afectar a la seguridad en nuestro día a día. Muchos fallos que hacen que el software que utilizamos, las conexiones de red o los dispositivos que usemos puedan ser una amenaza. En este artículo nos hacemos eco de una lista publicada por MITRE que muestra las 25 principales debilidades de software que son la causa de las graves vulnerabilidades que pueden afectar a nuestra seguridad. Vamos a hablar de ello.
Las 25 vulnerabilidades de software más importantes
Hay muchos errores que pueden afectar a los programas que utilizamos, a las herramientas con las que cuentan nuestros dispositivos. Es algo que está presente en nuestro día a día. Ahora bien, hay ocasiones en las que estas vulnerabilidades pueden representar una amenaza más importante.
MITRE, una empresa estadounidense dedicada a la ingeniería de sistemas, investigación y desarrollo, ha lanzado una lista con las 25 vulnerabilidades de software más importantes. Indican que estos errores pueden ser fácilmente explotados y, en definitiva, ser utilizados por un posible atacante para tener el control de un sistema.
Debido a estas vulnerabilidades que consideran importantes un atacante podría robar datos confidenciales, llegar a hacer imposible el buen funcionamiento de un determinado software o provocar ataques variados.
El principal objetivo de MITRE al hacer pública esta lista es que los desarrolladores de software la tengan como guía para tener controladas esas vulnerabilidades. De esta forma podrán crear software más seguro y que no ponga en riesgo, o al menos disminuirlo lo máximo posible, la seguridad de los usuarios.
Hay que tener en cuenta que estas 25 vulnerabilidades no son fruto de la casualidad o de lo que ellos creen. Para llegar a esta conclusión han aplicado una fórmula que utiliza diferentes puntuaciones para dar una valoración final a cada una. De esta forma pueden sacar la lista definitiva con las que pueden tener un mayor nivel de prevalencia y también representar un mayor peligro.
Para crear esta lista se han basado en vulnerabilidades de todo el mundo. Han dado una denominación a cada una de ellas y junto a cada una han puesto la valoración, la puntuación CVSS, que es lo que permite saber cuáles son las más peligrosas y, en definitiva, con cuáles tienen que tener más cuidado los desarrolladores.
Principales vulnerabilidades según MITRE
Si comenzamos por el top 5 podemos decir que la vulnerabilidad más importante para MITRE y la que tiene más puntuación CVSS es la restricción incorrecta de operaciones dentro de los límites de un buffer de memoria. Le han asignado el nombre de CWE-119 y tiene una puntuación de 75,56.
La segunda consiste en la neutralización inadecuada de la entrada durante la generación de la página web. Tiene una valoración de 45,69 y ha sido denominada como CWE-79.
Las siguientes son, respectivamente, la validación de entrada incorrecta, que la han calificado con una puntuación de 43,61 y la han denominado CWE-20; la exposición de información, denominada CWE-200 y una puntuación de 32,12 y, cerrando el top 5, la vulnerabilidad CWE-125 denominada lectura fuera de límites y con una puntuación de 26,53.
Estas son las cinco principales vulnerabilidades según MITRE. Sin embargo en total han lanzado una lista con 25. Las 20 restantes son las que mencionamos a continuación:
- CWE-89 Neutralización incorrecta de elementos especiales utilizados en un comando SQL («Inyección SQL») 24,54
- CWE-416 Uso tras la versión gratuita 17,94
- CWE-190 Desbordamiento entero 17,35
- CWE-352 falsificación de solicitud de sitios cruzados 15,54
- CWE-22 Limitación incorrecta de un nombre de ruta a un directorio restringido 14,10
- CWE-78 Neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo 11,47
- CWE-787 Escritura fuera de límites 11,08
- CWE-287 Autenticación incorrecta 10,78
- CWE-476 Sin referencia del cursor 9,74
- CWE-732 Asignación de permiso incorrecta para el recurso crítico 6,33
- CWE-434 Carga sin restricciones de archivos de tipo peligroso 5,50
- CWE-611 Restricción incorrecta de XML Referencia de entidad externa 5,48
- CWE-94 Control inadecuado de la generación de código («Inyección de código») 5,36
- CWE-798 Uso de credenciales codificadas 5,12
- CWE-400 Consumo de recursos no controlados 5,04
- CWE-772 Falta la liberación de recursos después de la vida útil 5,04
- CWE-426 Ruta de búsqueda no confiable 4,40
- CWE-502 Deserialización de datos no confiables 4,30
- CWE-269 Gestión de privilegios inadecuada 4,23
- CWE-295 Validación incorrecta del certificado 4,06
Fuente: redeszone.net