MITRE compartió las 25 debilidades más comunes y peligrosas de este año que afectaron al software durante los dos años calendario anteriores.
Las debilidades del software son fallas, errores, vulnerabilidades u otros errores que se encuentran en el código, la arquitectura, la implementación o el diseño de las soluciones de software.
Para crear esta lista, MITRE calificó cada debilidad en función de su prevalencia y gravedad después de analizar datos de 37 899 CVE de la Base de datos nacional de vulnerabilidades (NVD) del NIST y el Catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA.
«Muchos profesionales que trabajan con software encontrarán en CWE Top 25 un recurso práctico y conveniente para ayudar a mitigar el riesgo», dijo MITRE .
«Esto puede incluir arquitectos de software, diseñadores, desarrolladores, evaluadores, usuarios, administradores de proyectos, investigadores de seguridad, educadores y colaboradores de organizaciones de desarrollo de estándares (SDO).
Los 25 errores principales de MITRE se consideran peligrosos porque generalmente son fáciles de descubrir, tienen un alto impacto y prevalecen en el software lanzado durante los últimos dos años.
La siguiente tabla proporciona información sobre las debilidades de seguridad más críticas y actuales que afectan al software en todo el mundo.
| Rango | IDENTIFICACIÓN | Nombre | Puntaje | Recuento de KEV (CVE) | Cambio de rango vs. 2021 |
|---|---|---|---|---|---|
| 1 | CWE-787 | Escritura fuera de los límites | 64.20 | 62 | 0 |
| 2 | CWE-79 | Neutralización incorrecta de la entrada durante la generación de la página web («Cross-site Scripting») | 45.97 | 2 | 0 |
| 3 | CWE-89 | Neutralización incorrecta de elementos especiales utilizados en un comando SQL (‘inyección SQL’) | 22.11 | 7 | +3 |
| 4 | CWE-20 | Validación de entrada incorrecta | 20.63 | 20 | 0 |
| 5 | CWE-125 | Lectura fuera de los límites | 17.67 | 1 | -2 |
| 6 | CWE-78 | Neutralización incorrecta de elementos especiales utilizados en un comando de sistema operativo (‘inyección de comando de sistema operativo’) | 17.53 | 32 | -1 |
| 7 | CWE-416 | Usar después gratis | 15.50 | 28 | 0 |
| 8 | CWE-22 | Limitación incorrecta de un nombre de ruta a un directorio restringido (‘Path Traversal’) | 14.08 | 19 | 0 |
| 9 | CWE-352 | Falsificación de solicitud entre sitios (CSRF) | 11.53 | 1 | 0 |
| 10 | CWE-434 | Carga sin restricciones de archivos con tipo peligroso | 9.56 | 6 | 0 |
| 11 | CWE-476 | Desreferencia de puntero NULL | 7.15 | 0 | +4 |
| 12 | CWE-502 | Deserialización de datos no confiables | 6.68 | 7 | +1 |
| 13 | CWE-190 | Desbordamiento de enteros o ajuste | 6.53 | 2 | -1 |
| 14 | CWE-287 | Autenticación incorrecta | 6.35 | 4 | 0 |
| 15 | CWE-798 | Uso de Credenciales Codificadas | 5.66 | 0 | +1 |
| dieciséis | CWE-862 | Autorización faltante | 5.53 | 1 | +2 |
| 17 | CWE-77 | Neutralización incorrecta de elementos especiales utilizados en un comando (‘inyección de comando’) | 5.42 | 5 | +8 |
| 18 | CWE-306 | Autenticación faltante para función crítica | 5.15 | 6 | -7 |
| 19 | CWE-119 | Restricción incorrecta de operaciones dentro de los límites de un búfer de memoria | 4.85 | 6 | -2 |
| 20 | CWE-276 | Permisos predeterminados incorrectos | 4.84 | 0 | -1 |
| 21 | CWE-918 | Falsificación de solicitud del lado del servidor (SSRF) | 4.27 | 8 | +3 |
| 22 | CWE-362 | Ejecución concurrente usando recursos compartidos con sincronización incorrecta («Condición de carrera») | 3.57 | 6 | +11 |
| 23 | CWE-400 | Consumo de recursos no controlado | 3.56 | 2 | +4 |
| 24 | CWE-611 | Restricción incorrecta de la referencia de entidad externa XML | 3.38 | 0 | -1 |
| 25 | CWE-94 | Control inadecuado de la generación de código («Inyección de código») | 3.32 | 4 | +3 |
Principales vulnerabilidades explotadas de 2021
En abril, en asociación con el FBI y la NSA, las autoridades de seguridad cibernética de todo el mundo también publicaron una lista de las 15 principales vulnerabilidades explotadas con frecuencia por los actores de amenazas durante 2021 .
Como se reveló en el aviso conjunto, los actores maliciosos centraron sus ataques el año pasado en las vulnerabilidades recientemente reveladas que afectan a los sistemas conectados a Internet, incluidos los servidores de correo electrónico y de red privada virtual (VPN).
Esto probablemente se debió a que los actores malintencionados y los investigadores de seguridad publicaron exploits de prueba de concepto (POC) dentro de las dos semanas posteriores a la divulgación de la mayoría de los principales errores explotados en 2021.
Sin embargo, también enfocaron algunos ataques en fallas más antiguas parcheadas años antes, lo que demuestra que algunas organizaciones no actualizan sus sistemas incluso después de que un parche está disponible.
CISA y el FBI también han publicado una lista de las 10 fallas de seguridad más explotadas entre 2016 y 2019. También se publicó una lista de las fallas explotadas de forma rutinaria en 2020 en colaboración con el Centro de Seguridad Cibernética de Australia (ACSC) y la Seguridad Cibernética Nacional del Reino Unido. Centro (NCSC).
En noviembre, MITRE también compartió una lista de las fallas de seguridad de programación, diseño y arquitectura más peligrosas que plagaron el hardware durante el último año.
Fuente: https://www.bleepingcomputer.com
