MITRE ATT&CK , siber güvenlik tehditlerinin gerçek dünyadaki gözlemlerine dayanan, saldırgan taktikleri ve teknikleri hakkında küresel olarak erişilebilir bir veri tabanıdır. Mitre İki yıl boyunca yazılımların başına bela olan en yaygın ve tehlikeli 25 zafiyetlerin oluşturduğu listesini paylaştı.
MITRE, Ulusal Güvenlik Açığı Veritabanından (NVD) (yaklaşık 27.000 CVE) elde edilen 2019 ve 2020 yılına ait Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) verilerini kullanarak ilk 25 zafiyetini listesini oluşturdu. MITRE’nin 2021’deki en önemli 25 zafiyetin, genellikle keşfedilmeleri kolay, yüksek etkiye sahip oldukları ve son iki yılda piyasaya sürülen yazılımlarda yaygın olduklarını açıkladı. Ayrıca bu zafiyetlerin saldırganlar tarafından savunmasız sistemlerin tam kontrolünü ele geçirmek, hassas verilerin çalınlması veya iş kaybı yaratmak için (DoS) saldırılarında kullanılabileceğini belirtti.
Yayınlanan 25 Zafiyet Aşağıda Listelenmiştir
| Rank | ID | Name | Score |
|---|---|---|---|
| [1] | CWE-787 | Out-of-bounds Write | 65.93 |
| [2] | CWE-79 | Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) | 46.84 |
| [3] | CWE-125 | Out-of-bounds Read | 24.9 |
| [4] | CWE-20 | Improper Input Validation | 20.47 |
| [5] | CWE-78 | Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) | 19.55 |
| [6] | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) | 19.54 |
| [7] | CWE-416 | Use After Free | 16.83 |
| [8] | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) | 14.69 |
| [9] | CWE-352 | Cross-Site Request Forgery (CSRF) | 14.46 |
| [10] | CWE-434 | Unrestricted Upload of File with Dangerous Type | 8.45 |
| [11] | CWE-306 | Missing Authentication for Critical Function | 7.93 |
| [12] | CWE-190 | Integer Overflow or Wraparound | 7.12 |
| [13] | CWE-502 | Deserialization of Untrusted Data | 6.71 |
| [14] | CWE-287 | Improper Authentication | 6.58 |
| [15] | CWE-476 | NULL Pointer Dereference | 6.54 |
| [16] | CWE-798 | Use of Hard-coded Credentials | 6.27 |
| [17] | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer | 5.84 |
| [18] | CWE-862 | Missing Authorization | 5.47 |
| [19] | CWE-276 | Incorrect Default Permissions | 5.09 |
| [20] | CWE-200 | Exposure of Sensitive Information to an Unauthorized Actor | 4.74 |
| [21] | CWE-522 | Insufficiently Protected Credentials | 4.21 |
| [22] | CWE-732 | Incorrect Permission Assignment for Critical Resource | 4.2 |
| [23] | CWE-611 | Improper Restriction of XML External Entity Reference | 4.02 |
| [24] | CWE-918 | Server-Side Request Forgery (SSRF) | 3.78 |
| [25] | CWE-77 | Improper Neutralization of Special Elements used in a Command (‘Command Injection’) | 3.58 |
2016’dan Bu Yana En Çok İstismar Edilen 10 Güvenlik Açığı Aşağıda Listelenmiştir
| CVE | Associated Malware |
| CVE-2017-11882 | Loki, FormBook, Pony/FAREIT |
| CVE-2017-0199 | FINSPY, LATENTBOT, Dridex |
| CVE-2017-5638 | JexBoss |
| CVE-2012-0158 | Dridex |
| CVE-2019-0604 | China Chopper |
| CVE-2017-0143 | Multiple using the EternalSynergy and EternalBlue Exploit Kit |
| CVE-2018-4878 | DOGCALL |
| CVE-2017-8759 | FINSPY, FinFisher, WingBird |
| CVE-2015-1641 | Toshliph, Uwarrior |
| CVE-2018-7600 | Kitty |
Kaynak: bleepingcomputer.com
