MITRE revela los 25 puntos débiles más peligrosos del software
MITRE ha anunciado su lista de las 25 vulnerabilidades de software más peligrosas que han afectado a la industria en los dos últimos años, tras evaluar y puntuar rigurosamente cada punto débil en función de su gravedad y ubicuidad. Estas vulnerabilidades, que incluyen fallos, bugs, vulnerabilidades y errores, suponen grandes peligros para la seguridad de los sistemas de software.
Según MITRE, Out-of-bounds es el problema más importante de la lista, que se produce cuando el software escribe datos fuera de un área de memoria designada. Esto permite a los atacantes lanzar aplicaciones dañinas en el PC de la víctima. Otros problemas importantes son el cross-site scripting (XSS), la inyección SQL y el uso después de libre.
En orden cronológico, los puntos débiles son Escritura fuera de los límites (CWE-787), scripting en sitios cruzados (CWE-79), inyección SQL (CWE-89), uso después de liberar (CWE-416), inyección de comandos del sistema operativo (CWE-78), validación de entrada incorrecta (CWE-20), lectura fuera de los límites (CWE-125), path traversal (CWE-22), falsificación de petición de sitio cruzado (CSRF), carga sin restricciones de archivo con tipo peligroso (CWE-434), falta de autorización (CWE-862), desviación de puntero NULL (CWE-476), autenticación incorrecta (CWE-287).
Otros incluyen, el desbordamiento de enteros o wraparound (CWE-190), deserialización de datos no confiables (CWE-502), neutralización inapropiada de elementos especiales usados en un comando (CWE-77), restricción inapropiada de operaciones dentro de los límites de un buffer de memoria (CWE-119), uso de credenciales hard-coded (CWE-798), server-side request forgery (SSRF), falta de autenticación para una función crítica (CWE-306), ejecución concurrente utilizando un recurso compartido con sincronización inadecuada (CWE-362), gestión inadecuada de privilegios (CWE-269), control inadecuado de la generación de código (CWE-94), autorización incorrecta (CWE-863), permisos por defecto incorrectos (CWE-276).
Su investigación incluyó una evaluación exhaustiva de 43.996 elementos de la National Vulnerability Database (NVD), que mantiene el National Institute of Standards and Technology (NIST) y contiene información sobre vulnerabilidades encontradas y notificadas en 2021 y 2022. MITRE también examinó las entradas de Vulnerabilidades y Exposiciones Comunes (CVE) del catálogo de Vulnerabilidades Explotadas Conocidas (KEV) del CISA.
MITRE declaró que investigó la frecuencia con la que una determinada Enumeración de Debilidades Comunes (Common Weakness Enumeration, CWE) aparecía como causa principal de una vulnerabilidad, así como la gravedad media de esas vulnerabilidades cuando eran explotadas, determinada por la puntuación CVSS. MITRE añadió que al normalizar las cifras de frecuencia y gravedad en relación con los valores más bajos y más altos del conjunto de datos, pudo crear un orden de clasificación objetivo de los defectos encontrados.
Las repercusiones de estas deficiencias incluyen poner en peligro la seguridad de los sistemas en los que está instalado y en funcionamiento el software afectado, su explotación por parte de agentes malintencionados como punto de entrada para obtener el control no autorizado de dispositivos, acceder a datos confidenciales o desencadenar incidentes perturbadores de denegación de servicio.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.