L’Homeland Security Systems Engineering and Development Institute, sponsorizzato dal Department of Homeland Security e gestito da MITRE, ha pubblicato l’elenco delle 25 vulnerabilità software più pericolose in circolazione. La 2023 Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Weaknesses (CWE Top 25) mostra i punti deboli del software attualmente più comuni e di maggiore impatto.

Per calcolare l’elenco CWE Top 25 del 2023, il team CWE ha analizzando i dati del National Vulnerability Database (NVD) del NIST per le mappature delle cause alla radice delle debolezze CWE relativi al 2021 e 2022 associandoli al punteggio calcolato dal Common Vulnerability Scoring System (CVSS), associati a ciascun record CVE, incluso un focus sui record CVE dal catalogo KEV (Known Exploited Vulnerabilities) della CISA. Ai dati è stata applicata una formula per assegnare un punteggio a ciascuna debolezza in base alla prevalenza e alla gravità.

Il dataset analizzato per calcolare la Top 25 del 2023 conteneva un totale di 43.996 record CVE tra il 2021 e il 2022. I cambiamenti nelle posizioni classificate dei tipi di debolezza rispetto all’elenco dello scorso anno sono stati diversi e notevoli, inclusi i punti deboli che scompaiono o fanno la loro prima apparizione in una Top 25.

Queste debolezze portano a gravi vulnerabilità nel software. Un utente malintenzionato può spesso sfruttare queste vulnerabilità per assumere il controllo di un sistema interessato, rubare dati o impedire il funzionamento delle applicazioni.

Le debolezze presenti nella lista sono considerate estremamente pericolose: un utente malintenzionato può sfruttare queste vulnerabilità per assumere completamente il controllo di un sistema, sottrarre dati o impedire o alterare il corretto funzionamento delle applicazioni.

Al primo posto della lista troviamo la “Out-of-bounds Write”, identificata spesso anche come “Memory Corruption”: i software colpiti da questa vulnerabilità consentono la scrittura oltre i limiti del buffer predisposto. Questa debolezza può portare alla corruzione di dati del sistema, al crash di applicazioni o a esecuzione non prevista di codice.

Al secondo posto c’è il “Cross-site Scripting”, a seguire, al terzo posto, la “SQL Injection”. La Use After Free, presente anche nelle edizioni precedenti della lista, è invece salita di posizione e ora è considerata la 7° debolezza software più pericolosa. Si tratta di una vulnerabilità che consente di referenziare una parte di memoria dopo che è stata deallocata, causando il crash di un programma o l’esecuzione di codice arbitrario.

Anche la “Missing Authorization” è salita di posizione. Si tratta di una debolezza che si verifica se un software non esegue il controllo delle autorizzazioni quando un utente accede a una risorsa o esegue un’azione.

Le new entry della Top 25 di quest’anno sono l'”Improper Privilege Management” e l'”Incorrect Authorization”. In entrambi i casi si tratta di un errore nei controlli di autenticazione di un utente: nel primo caso il software non è in grado di assegnare, modificare o controllare correttamente i permessi di un utente del sistema; nel secondo caso, quando un utente accede a una risorsa vengono eseguiti dei controlli errati che gli consentono di bypassare le restrizioni imposte.

I CWE stanno diventando sempre più prevalenti nelle conversazioni sull’esposizione alla vulnerabilità mentre la comunità cerca di evitare le cause alla radice che possono diventare vulnerabilità. CISA incoraggia gli sviluppatori e i team di risposta alla sicurezza dei prodotti a esaminare la CWE Top 25 e valutare le mitigazioni consigliate per determinare quelle più adatte da adottare. Nelle prossime settimane, il programma CWE pubblicherà una serie di ulteriori articoli sulla metodologia CWE Top 25, sulle tendenze della mappatura delle vulnerabilità e altre informazioni utili che aiutano a illustrare come la gestione delle vulnerabilità svolga un ruolo importante nella guida Shifting the Balance of Cybersecurity Risk.

 

https://www.cisa.gov/news-events/alerts/2023/06/29/2023-cwe-top-25-most-dangerous-software-weaknesses

https://www.securityinfo.it/2023/07/04/le-25-vulnerabilita-software-piu-pericolose-secondo-cwe/

 

Twitter
Visit Us
LinkedIn
Share
YOUTUBE