MITRE ha condiviso i primi 25 bug più comuni e pericolosi di quest’anno che hanno avuto un impatto negli ultimi due anni.
I bug dei software sono vulnerabilità o altri errori riscontrati nel codice, nell’architettura, nell’implementazione o nella progettazione delle soluzioni software.
Possono potenzialmente esporre i sistemi su cui sono in esecuzione ad attacchi che potrebbero consentire agli hackers di assumere il controllo dei dispositivi interessati, ottenere l’accesso a informazioni riservate o attivare una condizione di negazione del servizio.
Per creare questo elenco, MITRE ha valutato ogni bug in base alla sua prevalenza e gravità dopo aver analizzato i dati per 37.899 CVE dal National Vulnerability Database (NVD) del NIST e dal catalogo KEV (Known Exploited Vulnerabilities) della CISA.
“Molti professionisti che si occupano di software troveranno CWE Top 25 una risorsa pratica e conveniente per aiutare a mitigare i rischi”, ha affermato MITRE .
“Questo può includere software architect, designer, sviluppatori, tester, utenti, project manager, ricercatori sulla sicurezza, educatori e collaboratori per lo standards developing organizations (SDOs).
I primi 25 bug di MITRE sono considerati pericolosi perché di solito sono facili da scoprire, hanno un impatto elevato e sono prevalenti nei software rilasciati negli ultimi due anni.
La tabella seguente fornisce informazioni dettagliate sui bug più critici e attuali che interessano i software in tutto il mondo.
| Rank | ID | Name | Score | KEV Count (CVEs) | Rank Change vs. 2021 |
| 1 | CWE-787 | Out-of-bounds Write | 64.20 | 62 | 0 |
| 2 | CWE-79 | Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) | 45.97 | 2 | 0 |
| 3 | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) | 22.11 | 7 | +3 |
| 4 | CWE-20 | Improper Input Validation | 20.63 | 20 | 0 |
| 5 | CWE-125 | Out-of-bounds Read | 17.67 | 1 | -2 |
| 6 | CWE-78 | Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) | 17.53 | 32 | -1 |
| 7 | CWE-416 | Use After Free | 15.50 | 28 | 0 |
| 8 | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) | 14.08 | 19 | 0 |
| 9 | CWE-352 | Cross-Site Request Forgery (CSRF) | 11.53 | 1 | 0 |
| 10 | CWE-434 | Unrestricted Upload of File with Dangerous Type | 9.56 | 6 | 0 |
| 11 | CWE-476 | NULL Pointer Dereference | 7.15 | 0 | +4 |
| 12 | CWE-502 | Deserialization of Untrusted Data | 6.68 | 7 | +1 |
| 13 | CWE-190 | Integer Overflow or Wraparound | 6.53 | 2 | -1 |
| 14 | CWE-287 | Improper Authentication | 6.35 | 4 | 0 |
| 15 | CWE-798 | Use of Hard-coded Credentials | 5.66 | 0 | +1 |
| 16 | CWE-862 | Missing Authorization | 5.53 | 1 | +2 |
| 17 | CWE-77 | Improper Neutralization of Special Elements used in a Command (‘Command Injection’) | 5.42 | 5 | +8 |
| 18 | CWE-306 | Missing Authentication for Critical Function | 5.15 | 6 | -7 |
| 19 | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer | 4.85 | 6 | -2 |
| 20 | CWE-276 | Incorrect Default Permissions | 4.84 | 0 | -1 |
| 21 | CWE-918 | Server-Side Request Forgery (SSRF) | 4.27 | 8 | +3 |
| 22 | CWE-362 | Concurrent Execution using Shared Resource with Improper Synchronization (‘Race Condition’) | 3.57 | 6 | +11 |
| 23 | CWE-400 | Uncontrolled Resource Consumption | 3.56 | 2 | +4 |
| 24 | CWE-611 | Improper Restriction of XML External Entity Reference | 3.38 | 0 | -1 |
| 25 | CWE-94 | Improper Control of Generation of Code (‘Code Injection’) | 3.32 | 4 | +3 |
Principali vulnerabilità sfruttate nel 2021
Ad aprile, in collaborazione con l’FBI e la NSA, le autorità di sicurezza informatica di tutto il mondo hanno anche pubblicato un elenco delle 15 principali vulnerabilità sfruttate di frequente dagli hackers nel 2021.
Come rivelato nell’avviso congiunto, l’anno scorso gli hackers hanno concentrato i loro attacchi sulle vulnerabilità recentemente rivelate che interessano i sistemi connessi a Internet, inclusi i server di posta elettronica e di rete privata virtuale (VPN).
Ciò era probabilmente dovuto al fatto che hackers e ricercatori di sicurezza hanno pubblicato exploit proof of concept (POC) entro due settimane dalla divulgazione della maggior parte dei bug più sfruttati nel 2021.
Tuttavia, hanno anche concentrato alcuni attacchi su vecchi bug corretti anni prima, dimostrando che alcune organizzazioni non riescono ad aggiornare i propri sistemi anche dopo che una patch è disponibile.
La CISA e l’FBI hanno anche pubblicato un elenco dei 10 principali bug di sicurezza più sfruttati tra il 2016 e il 2019. In collaborazione con l’Australian Cyber Security Center (ACSC) e il National Cyber Security Center del Regno Unito (NCSC) è stato anche pubblicato un elenco dei principali bug sfruttati di routine nel 2020.
A novembre, MITRE ha anche condiviso un elenco dei più pericolosi bug di sicurezza di programmazione, progettazione e architettura che hanno afflitto l’hardware nell’ultimo anno.