‫ MITER مهمترین نقطه ضعف نرم‌افزاری را به اشتراک گذاشت

MITER لیست 25 تا از رایج‌ترین و خطرناک ترین ضعف های نرم افزاری امسال را به اشتراک گذاشته است.

ضعف‌های نرم‌افزار به نقص‌ها، اشکالات، آسیب‌پذیری‌ها و خطاهای یافت شده در کد، معماری، پیاده‌سازی یا طراحی نرم‌افزار اشاره دارد.

مهاجمان می‌توانند از آن‌ها برای نفوذ به سیستم‌هایی که نرم‌افزار آسیب‌پذیر در حال اجرا است، سوء‌استفاده کنند، و به آنها امکان می‌دهد کنترل دستگاه‌های آسیب‌دیده را به دست آورند و به داده‌های حساس دسترسی داشته باشند یا حملات انکار سرویس را آغاز کنند.

MITER امروز گفت: «اغلب یافتن و بهره‌برداری از این موارد آسان است، می‌تواند منجر به آسیب‌پذیری‌های قابل بهره‌برداری شود که به دشمنان اجازه می‌دهد تا سیستم را کاملاً کنترل کنند، داده‌ها را سرقت کنند یا از کارکرد برنامه‌ها جلوگیری کنند.

کشف دلایل اصلی این آسیب‌پذیری‌ها به‌عنوان راهنمای قدرتمندی برای سرمایه‌گذاری‌ها، سیاست‌ها و شیوه‌ها برای جلوگیری از بروز این آسیب‌پذیری‌ها در وهله اول عمل می‌کند  که هم صنعت و هم سهامداران دولتی را به نفع خود می‌برد.»

برای ایجاد رتبه‌بندی امسال، MITER هر نقطه ضعف را بر اساس شدت و فراوانی آن پس از تجزیه و تحلیل 31770 رکوردCVE برای آسیب‌پذیری‌هایی که «از تجزیه و تحلیل نقشه‌برداری مجدد سود می‌برند» امتیاز داد و در سال‌های 2023 و 2024 گزارش شد، با تمرکز بر نقص‌های امنیتی اضافه شده به اطلاعات شناخته شدهCISA. کاتالوگ آسیب‌پذیری‌های مورد سوء‌استفاده(KEV).

CISA امروز افزود: «این فهرست سالانه مهم‌ترین نقاط ضعف نرم‌افزاری را شناسایی می‌کند که دشمنان اغلب از آنها برای به خطر انداختن سیستم‌ها، سرقت داده‌های حساس یا مختل کردن خدمات ضروری استفاده می‌کنند».

سازمان‌ها به شدت تشویق می‌شوند تا این فهرست را بررسی کرده و از آن برای اطلاع‌رسانی استراتژی‌های امنیتی نرم‌افزار خود استفاده کنند. اولویت‌بندی این نقاط ضعف در فرآیندهای توسعه و تدارکات به جلوگیری از آسیب‌پذیری‌ها در هسته چرخه عمر نرم‌افزار کمک می‌کند.

CISA همچنین به طور مرتب هشدارهای"Secure by Design" را منتشر می‌کند که شیوع آسیب‌پذیری‌های شناخته شده و مستند شده را نشان می‌دهد که با وجود کاهش‌های موجود و موثر هنوز از نرم افزار حذف نشده‌اند.

برخی از آنها در پاسخ به فعالیت‌های مخرب جاری صادر شده‌اند، مانند هشدار ماه ژوئیه که از فروشندگان می‌خواهد آسیب‌پذیری‌های تزریق فرمان سیستم عامل را که توسط هکرهای چینیVelvet Ant در حملات اخیر که دستگاه‌های لبه شبکهCisco، Palo Alto وIvanti را هدف قرار می‌دهند، از بین ببرند.

در ماه مه و مارس، آژانس امنیت سایبری دو هشدار دیگر"Secure by Design" منتشر کرد که از مدیران فناوری و توسعه دهندگان نرم افزار خواست تا از آسیب‌پذیری‌های پیمایش مسیر و تزریقSQL (SQLi) در محصولات و کد خود جلوگیری کنند.

CISA همچنین از فروشندگان فناوری خواست تا ارسال نرم‌افزارها و دستگاه‌های دارای رمز عبور پیش‌فرض و تولیدکنندگان روترهای اداری/خانه‌ای کوچک(SOHO) را متوقف کنند تا آنها را در برابر حملاتVolt Typhoon ایمن کنند.

هفته گذشته، NSA و مقامات امنیت سایبریFive Eyes فهرستی از 15 آسیب‌پذیری امنیتی که به طور معمول مورد سوء‌استفاده قرار گرفته‌اند را منتشر کردند و هشدار دادند که مهاجمان روی هدف قرار دادن روزهای صفر تمرکز کرده‌اند (نقص امنیتی که فاش شده‌اند اما هنوز اصلاح نشده‌اند‌).

آنها هشدار دادند: «در سال 2023، اکثر آسیب‌پذیری‌هایی که اغلب مورد بهره‌برداری قرار می‌گرفتند، ابتدا به‌عنوان روز صفر مورد بهره‌برداری قرار گرفتند، که نسبت به سال 2022 افزایش یافته است، زمانی که کمتر از نیمی از آسیب‌پذیری‌های مورد بهره‌برداری بالا به‌عنوان روز صفر مورد بهره‌برداری قرار گرفتند».