MITRE выложила список из 25 наиболее опасных софтовых уязвимостей

MITRE выложила список из 25 наиболее опасных софтовых уязвимостей

MITRE выложила список из 25 наиболее опасных софтовых уязвимостей

Организация MITRE опубликовала список из 25 наиболее опасных софтовых уязвимостей и багов, которые за последние два года докучали пользователям и компаниям по всему миру. ИБ-сообщество призывают обратить внимание на эти бреши.

MITRE добавила в список не только классические уязвимости, но и ошибки конфигурации, баги, некорректную имплементацию и т. п. Вот что пишет CISA:

«Все описанные бреши в софте приводят к серьёзным проблемам. Атакующие зачастую могут воспользоваться этими уязвимостями для получения контроля над целевой системой. С их помощью злоумышленными могут также украсть данные и вызвать сбои в работе приложений».

В процессе создания списка MITRE изучила 43 996 уязвимостей, описанных Национальным институтом стандартов и технологий США (NIST), и отталкивалась от степени опасности. Кроме того, учитывался каталог CISA Known Exploited Vulnerabilities (KEV).

«В конечном счёте мы создали формулу, которая использовалась для расчета степени опасности уязвимостей (учитывался и балл CVSS)», — объясняют в MITRE.

В списке действительно присутствуют бреши с высокой степенью риска, поскольку они затрагивают целый спектр программного обеспечения, выпущенного за последние два года. MITRE хочет, чтобы у сообщества было чёткое понимание в отношении тех или иных проблем софта. Список выглядит так:

Место Идентификатор Имя Балл Место в KEV Место ранее
1 CWE-787 Out-of-bounds Write 63.72 70 0
2 CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') 45.54 4 0
3 CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') 34.27 6 0
4 CWE-416 Use After Free 16.71 44 +3
5 CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') 15.65 23 +1
6 CWE-20 Improper Input Validation 15.50 35 -2
7 CWE-125 Out-of-bounds Read 14.60 2 -2
8 CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') 14.11 16 0
9 CWE-352 Cross-Site Request Forgery (CSRF) 11.73 0 0
10 CWE-434 Unrestricted Upload of File with Dangerous Type 10.41 5 0
11 CWE-862 Missing Authorization 6.90 0 +5
12 CWE-476 NULL Pointer Dereference 6.59 0 -1
13 CWE-287 Improper Authentication 6.39 10 +1
14 CWE-190 Integer Overflow or Wraparound 5.89 4 -1
15 CWE-502 Deserialization of Untrusted Data 5.56 14 -3
16 CWE-77 Improper Neutralization of Special Elements used in a Command ('Command Injection') 4.95 4 +1
17 CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer 4.75 7 +2
18 CWE-798 Use of Hard-coded Credentials 4.57 2 -3
19 CWE-918 Server-Side Request Forgery (SSRF) 4.56 16 +2
20 CWE-306 Missing Authentication for Critical Function 3.78 8 -2
21 CWE-362 Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') 3.53 8 +1
22 CWE-269 Improper Privilege Management 3.31 5 +7
23 CWE-94 Improper Control of Generation of Code ('Code Injection') 3.30 6 +2
24 CWE-863 Incorrect Authorization 3.16 0 +4
25 CWE-276 Incorrect Default Permissions 3.16 0 -5
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Продажи PT NGFW достигли 1,2 млрд рублей в 2024 году

12 марта 2025 года Positive Technologies представила финансовые показатели межсетевого экрана нового поколения PT NGFW. Общий объем отгрузок PT NGFW за 2024 год составил 1,2 млрд рублей.

В прошлом месяце мы затрагивали тему PT NGFW и пытались выяснить, можно ли создать продукт мирового уровня за два года.

Продажи PT NGFW стартовали 20 ноября 2024 года. За полтора месяца 44 российских и одна зарубежная компания выбрали этот продукт для защиты своей ИТ-инфраструктуры. В настоящее время проекты находятся на различных стадиях — от внедрения до полноценной эксплуатации.

Наибольшей популярностью пользовалась модель PT NGFW 3010 (56 ПАКов), рассчитанная на защиту высоконагруженных систем с пропускной способностью от 30 Гбит/с. Следующими по востребованности стали модели PT NGFW 2010 (49 ПАКов) и PT NGFW 1050 (31 ПАК), предназначенные для обработки трафика от 1 до 10 Гбит/с.

В течение 2024 года более 100 компаний, включая региональных партнеров, добавили PT NGFW в свои продуктовые линейки. Из них 46 партнеров приобрели программно-аппаратные комплексы для собственных демо-фондов, что позволило ускорить процесс тестирования и внедрения решений.

Наибольший объем продаж PT NGFW обеспечили компании «Инфосистемы Джет» и системный интегратор «Айтуби». В течение года партнеры принимали участие в тестировании новых релизов, разрабатывали методики интеграции с другим оборудованием и перехода с зарубежных решений на российские аналоги.

По итогам 2024 года 41 партнер Positive Technologies реализовал проекты с использованием PT NGFW. Крупнейшие внедрения были осуществлены в сферах ритейла и финансовых услуг.

Среди ключевых преимуществ PT NGFW пользователи отмечают:

  • отказоустойчивость и стабильность работы,
  • высокую производительность, подтвержденную тестами в лаборатории BI.ZONE,
  • высокий уровень обнаружения киберугроз (catch rate), достигший 85,3% от запущенных атак,
  • оперативную техническую поддержку — среднее время ответа эксперта составляет 7 минут.

Продукт первым среди конкурентов получил сертификат ФСТЭК России по обновленным требованиям для многофункциональных межсетевых экранов сетевого уровня. Этот статус позволил использовать PT NGFW в критически важных информационных инфраструктурах.

С момента начала отгрузок Positive Technologies гарантирует замену оборудования в течение суток в случае выявления неисправностей. По данным первых месяцев эксплуатации, уровень отказов составил менее 1% от общего количества отгруженных ПАКов, а неисправные устройства заменяются оперативно.

Развитие PT NGFW продолжается, и Positive Technologies планирует дальнейшее совершенствование продукта в 2025 году.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru