MITRE выложила список из 25 наиболее опасных софтовых уязвимостей

Екатерина Быстрова 30 Июня 2023 - 10:23

...

MITRE выложила список из 25 наиболее опасных софтовых уязвимостей

Организация MITRE опубликовала список из 25 наиболее опасных софтовых уязвимостей и багов, которые за последние два года докучали пользователям и компаниям по всему миру. ИБ-сообщество призывают обратить внимание на эти бреши.

MITRE добавила в список не только классические уязвимости, но и ошибки конфигурации, баги, некорректную имплементацию и т. п. Вот что пишет CISA:

«Все описанные бреши в софте приводят к серьёзным проблемам. Атакующие зачастую могут воспользоваться этими уязвимостями для получения контроля над целевой системой. С их помощью злоумышленными могут также украсть данные и вызвать сбои в работе приложений».

В процессе создания списка MITRE изучила 43 996 уязвимостей, описанных Национальным институтом стандартов и технологий США (NIST), и отталкивалась от степени опасности. Кроме того, учитывался каталог CISA Known Exploited Vulnerabilities (KEV).

«В конечном счёте мы создали формулу, которая использовалась для расчета степени опасности уязвимостей (учитывался и балл CVSS)», — объясняют в MITRE.

В списке действительно присутствуют бреши с высокой степенью риска, поскольку они затрагивают целый спектр программного обеспечения, выпущенного за последние два года. MITRE хочет, чтобы у сообщества было чёткое понимание в отношении тех или иных проблем софта. Список выглядит так:

Место	Идентификатор	Имя	Балл	Место в KEV	Место ранее
1	CWE-787	Out-of-bounds Write	63.72	70	0
2	CWE-79	Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')	45.54	4	0
3	CWE-89	Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')	34.27	6	0
4	CWE-416	Use After Free	16.71	44	+3
5	CWE-78	Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')	15.65	23	+1
6	CWE-20	Improper Input Validation	15.50	35	-2
7	CWE-125	Out-of-bounds Read	14.60	2	-2
8	CWE-22	Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')	14.11	16	0
9	CWE-352	Cross-Site Request Forgery (CSRF)	11.73	0	0
10	CWE-434	Unrestricted Upload of File with Dangerous Type	10.41	5	0
11	CWE-862	Missing Authorization	6.90	0	+5
12	CWE-476	NULL Pointer Dereference	6.59	0	-1
13	CWE-287	Improper Authentication	6.39	10	+1
14	CWE-190	Integer Overflow or Wraparound	5.89	4	-1
15	CWE-502	Deserialization of Untrusted Data	5.56	14	-3
16	CWE-77	Improper Neutralization of Special Elements used in a Command ('Command Injection')	4.95	4	+1
17	CWE-119	Improper Restriction of Operations within the Bounds of a Memory Buffer	4.75	7	+2
18	CWE-798	Use of Hard-coded Credentials	4.57	2	-3
19	CWE-918	Server-Side Request Forgery (SSRF)	4.56	16	+2
20	CWE-306	Missing Authentication for Critical Function	3.78	8	-2
21	CWE-362	Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')	3.53	8	+1
22	CWE-269	Improper Privilege Management	3.31	5	+7
23	CWE-94	Improper Control of Generation of Code ('Code Injection')	3.30	6	+2
24	CWE-863	Incorrect Authorization	3.16	0	+4
25	CWE-276	Incorrect Default Permissions	3.16	0	-5

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 13 Марта 2025 - 13:10

Общее R-Vision

23 апреля. R-EVOlution Conference 2025: Революция подходов и технологий

23 апреля 2025 года в Москве состоится R-EVOlution Conference 2025 — мероприятие, где ведущие эксперты обсудят актуальные вызовы безопасности, стратегии автоматизации и новый этап зрелости рынка. Компания R-Vision представит новый технологический подход, с помощью которого достигается синергия между задачами и интересами внутренних команд бизнеса, ИТ и ИБ, и способы их решения в условиях усложняющейся цифровой среды.

Где проходит граница между ИТ и ИБ — и стоит ли её проводить?

Зрелость процессов и команд ИТ и ИБ развивается несинхронно, провоцируя внутренний конфликт интересов и борьбу за финансы и ресурсы. В условиях стремительного роста числа кибератак это усиливает риски и усложняет оперативное реагирование. Дефицит ресурсов подталкивает организации повышать эффективность, согласованность и прозрачность процессов, тогда как принятие решений на основе фрагментированных данных становится всё более затратным. В таких условиях стоит задуматься — нужно ли сохранять строгие границы между ИТ и ИБ или настало время пересмотреть подход к их взаимодействию?

На R-EVOlution Conference 2025 команда R-Vision представит новый подход к интеграции ИТ и ИБ. В центре внимания — прозрачность ИТ-инфраструктуры, контроль за активами для снижения затрат, автоматизация обработки запросов и управление инцидентами, а также эффективное использование данных компании как стратегического ресурса.

Директора по информационной безопасности и информационным технологиям, а также представители регуляторов совместно с экспертами R-Vision обсудят, как интеграция ИБ- и ИТ-технологий помогает не только управлять киберрисками, но и повышать устойчивость ИТ-инфраструктуры, оптимизировать процессы и принимать более обоснованные бизнес-решения. Особое внимание будет уделено устранению конфликтов между подразделениями, повышению согласованности работы ИТ и ИБ и ускорению реагирования на угрозы.

Решения — в обновлённой линейке продуктов R-Vision и подтвержденных кейсах внедрения.

«R-EVOlution Conference 2025 станет площадкой для обсуждения проблем и решений в кибербезопасности и ИТ. Мы сосредоточим внимание на эффективном объединении ИТ и ИБ для повышения устойчивости бизнеса, снижении рисков и ускорении процессов функционирования компании», — отметил Валерий Богдашов, генеральный директор R-Vision. — «Мы предлагаем новый технологический подход, где ИТ и ИБ работают как единая система: непрерывные объединяющие процессы, экономия затрат, повышение эффективности. Такой подход помогает бизнесу быстрее реагировать на угрозы, точнее управлять рисками и эффективнее использовать ресурсы».

Деловая программа: ключевые темы и реальные кейсы

В программе — доклады, дискуссии и практические кейсы с участием ведущих экспертов, инженеров, лидеров отрасли и представителей регуляторов. Присоединяйтесь, чтобы первыми узнать о новых подходах к интеграции ИТ и ИБ и обсудить стратегии повышения эффективности бизнеса.

Chief-прожарка: ИБ vs ИТ — поиск баланса. Обсудим конфликт между безопасностью и удобством сервиса и доступностью ИТ-систем. Вопросы к обсуждению:

Нехватка ресурсов (персонал, бюджет, компетенции) и способы решения.
Совместимость решений разных вендоров и проблема закрытости платформ.
Сложные архитектурные задачи, которые не решаются в одиночку.
Разграничение зон ответственности между CISO и CIO.
Какие подходы и технологии применяются для решения смежных задач?
Уровень доверия к данным друг друга.
Цена ошибки: сколько стоит изменение с разных сторон и как защитить себя от них.

Практика и реальные кейсы

Представители крупного бизнеса и госструктур поделятся опытом решения практических задач в области мониторинга инфраструктуры, обнаружения угроз и реагирования на инциденты. Эксперты расскажут о реальных сложностях, с которыми сталкиваются компании, и о проверенных способах их решения.

Практические кейсы, результаты нагрузочных тестов и архитектурные решения — участники конференции узнают, какие подходы работают сегодня и как подготовиться к вызовам будущего.

Управление уязвимостями: роль ML и TI. Как автоматизировать устранение уязвимостей и объединить работу ИТ и ИБ:

Интеграция управления активами, инцидентами и уязвимостями в единый процесс.
Проблемы мониторинга и устранения уязвимостей в отечественном ПО и оборудовании.
Комбо технологий с использованием данных о киберугрозах, ML, AI для устранения уязвимостей и контроля защищенности.
Открытые экосистемы и партнёрства для повышения эффективности решений.

Атаки на цепочки поставок: от теории к практике

На прошлой R-EVOlution Conference 2024 эксперты во время пленарной сессии обсуждали атаки на цепочки поставок как потенциальную угрозу. Сегодня мы видим такую реальность, когда взлом через подрядчиков или собственные разработки угрожают устойчивости бизнеса и конфиденциальности данных.

В этом году участники разберут реальные кейсы, полученный опыт, инструменты для предотвращения и защиты от подобных атак с представителями крупных компаний, интеграторов и регуляторов. Основные вопросы к обсуждению: