Haberler

MITRE, En Tehlikeli 25 Yazılım Zafiyetini Açıkladı

MITRE ATT&CK , siber güvenlik tehditlerinin gerçek dünyadaki gözlemlerine dayanan, saldırgan taktikleri ve teknikleri hakkında küresel olarak erişilebilir bir veri tabanıdır. Mitre İki yıl boyunca yazılımların başına bela olan en yaygın ve tehlikeli 25 zafiyetlerin oluşturduğu listesini paylaştı.

MITRE, Ulusal Güvenlik Açığı Veritabanından (NVD) (yaklaşık 27.000 CVE) elde edilen 2019 ve 2020 yılına ait Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) verilerini kullanarak ilk 25 zafiyetini listesini oluşturdu. MITRE’nin 2021’deki en önemli 25 zafiyetin, genellikle keşfedilmeleri kolay, yüksek etkiye sahip oldukları ve son iki yılda piyasaya sürülen yazılımlarda yaygın olduklarını açıkladı. Ayrıca bu zafiyetlerin saldırganlar tarafından savunmasız sistemlerin tam kontrolünü ele geçirmek, hassas verilerin çalınlması veya iş kaybı yaratmak için (DoS) saldırılarında kullanılabileceğini belirtti.

Yayınlanan 25 Zafiyet Aşağıda Listelenmiştir

RankIDNameScore
[1]CWE-787Out-of-bounds Write65.93
[2]CWE-79Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)46.84
[3]CWE-125Out-of-bounds Read24.9
[4]CWE-20Improper Input Validation20.47
[5]CWE-78Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)19.55
[6]CWE-89Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)19.54
[7]CWE-416Use After Free16.83
[8]CWE-22Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)14.69
[9]CWE-352Cross-Site Request Forgery (CSRF)14.46
[10]CWE-434Unrestricted Upload of File with Dangerous Type8.45
[11]CWE-306Missing Authentication for Critical Function7.93
[12]CWE-190Integer Overflow or Wraparound7.12
[13]CWE-502Deserialization of Untrusted Data6.71
[14]CWE-287Improper Authentication6.58
[15]CWE-476NULL Pointer Dereference6.54
[16]CWE-798Use of Hard-coded Credentials6.27
[17]CWE-119Improper Restriction of Operations within the Bounds of a Memory Buffer5.84
[18]CWE-862Missing Authorization5.47
[19]CWE-276Incorrect Default Permissions5.09
[20]CWE-200Exposure of Sensitive Information to an Unauthorized Actor4.74
[21]CWE-522Insufficiently Protected Credentials4.21
[22]CWE-732Incorrect Permission Assignment for Critical Resource4.2
[23]CWE-611Improper Restriction of XML External Entity Reference4.02
[24]CWE-918Server-Side Request Forgery (SSRF)3.78
[25]CWE-77Improper Neutralization of Special Elements used in a Command (‘Command Injection’)3.58

2016’dan Bu Yana En Çok İstismar Edilen 10 Güvenlik Açığı Aşağıda Listelenmiştir

CVEAssociated Malware
CVE-2017-11882Loki, FormBook, Pony/FAREIT
CVE-2017-0199FINSPY, LATENTBOT, Dridex
CVE-2017-5638JexBoss
CVE-2012-0158Dridex
CVE-2019-0604China Chopper
CVE-2017-0143Multiple using the EternalSynergy and EternalBlue Exploit Kit
CVE-2018-4878DOGCALL
CVE-2017-8759FINSPY, FinFisher, WingBird
CVE-2015-1641Toshliph, Uwarrior
CVE-2018-7600Kitty

Kaynak: bleepingcomputer.com

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.