MITER, bu yılın en yaygın 25 ve tehlikeli zayıflıklarını, önceki iki takvim yılı boyunca yazılımı etkileyen en yaygın ve tehlikeli zayıflıkları paylaştı.
Yazılım zayıf yönleri kusurlar, hatalar, güvenlik açıkları veya yazılım çözümlerinin kodu, mimarisi, uygulama veya tasarımında bulunan diğer çeşitli hatalardır.
Tehdit aktörlerinin etkilenen cihazların kontrolünü ele geçirmelerini, hassas bilgilere erişebilmelerini veya bir hizmet reddi koşulunu tetikleyebilecek saldırılara potansiyel olarak açığa çıkarabilirler.
Bu listeyi oluşturmak için, MITER, NIST'in Ulusal Güvenlik Açığı Veritabanından (NVD) ve CISA'nın bilinen sömürülen güvenlik açıkları (KEV) kataloğundan 37.899 CVE için veri analiz ettikten sonra her bir zayıflığı prevalansına ve şiddetine göre puanladı.
Miter, "Yazılımla ilgilenen birçok profesyonel, CWE Top 25'ini riski azaltmaya yardımcı olacak pratik ve uygun bir kaynak bulacak." Dedi.
"Bu, yazılım mimarları, tasarımcılar, geliştiriciler, testçiler, kullanıcılar, proje yöneticileri, güvenlik araştırmacıları, eğitimciler ve katkıda bulunanları geliştiren kuruluşlara (SDO'lar) içerebilir.
Miter'in en iyi 25 hatası tehlikeli olarak kabul edilir, çünkü genellikle keşfetmesi kolay, yüksek bir etki ile gelirler ve son iki yıl içinde yayınlanan yazılımlarda yaygındır.
Aşağıdaki tablo, dünya çapında yazılımı etkileyen en kritik ve mevcut güvenlik zayıflıklarına ilişkin fikir vermektedir.
Nisan ayında, FBI ve NSA ile ortaklaşa, dünya çapında siber güvenlik yetkilileri de 2021 yılında tehdit aktörleri tarafından sıklıkla sömürülen ilk 15 güvenlik açıklarının bir listesini yayınladı.
Ortak Danışmanlık'ta açıklandığı gibi, kötü niyetli aktörler geçen yıl saldırılarını e-posta ve sanal özel ağ (VPN) sunucuları dahil olmak üzere internete dönük sistemleri etkileyen yeni açıklanan güvenlik açıklarına odakladılar.
Bunun nedeni, kötü niyetli aktörlerin ve güvenlik araştırmacılarının, en iyi sömürülen hataların çoğunun 2021'de açıklanmasından sonraki iki hafta içinde kavram (POC) istismarları yayınladığı içindi.
Bununla birlikte, yıllar önce yamalı eski kusurlara bazı saldırılara odaklandılar ve bazı kuruluşların bir yama mevcut olduktan sonra bile sistemlerini güncelleyemediğini gösterdiler.
CISA ve FBI ayrıca 2016-2019 yılları arasında en çok sömürülen ilk 10 güvenlik kusurunun bir listesini yayınladılar. 2020'de rutin olarak sömürülen hataların en üstü Avustralya Siber Güvenlik Merkezi (ACSC) ve İngiltere'nin Ulusal Siber Güvenliği ile işbirliği içinde yayınlandı. Merkez (NCSC).
Kasım ayında, MITER, geçen yıl boyunca en iyi tehlikeli programlama, tasarım ve mimarlık güvenlik kusurlarının rahatsız edici kusurlarının bir listesini paylaştı.
Microsoft Azure Fabricscape Bug Hacker'ların Linux Kümelerini Kaçırmasına İzin Ver
Amazon, Android Fotoğraflar Uygulamasında Yüksek Ters Güvenlik Açığını Düzeltiyor
Bilgisayar korsanları Zyxel Güvenlik Duvarları ve VPN'lerde kritik hatayı kullanıyor
Icefall: 56 kusur binlerce maruz kalan endüstriyel cihazı etkiler
Mega, kullanıcı verilerinin çözülmesine izin veren kritik kusurları düzeltir
Kaynak: Bleeping Computer