MITRE опубликовала топ-25 наиболее опасных уязвимостей в софте

MITRE опубликовала топ-25 наиболее опасных уязвимостей в софте

MITRE опубликовала топ-25 наиболее опасных уязвимостей в софте

Американская некоммерческая организация MITRE поделилась 25 самыми распространёнными и опасными уязвимостями в софте. Специалисты составили рейтинг на основе анализа проблем безопасности за последние два года.

Для формирования соответствующего списка MITRE опиралась на данные CVE за 2018 и 2019 годы, хранящиеся в Национальной базе уязвимостей (NVD). При этом учитывалась степень риска (шкала CVSS).

«NVD предоставляет информацию в удобоваримом формате, что, безусловно, помогло создать наш топ-25», — объясняют сотрудники MITRE.

Теперь о самих проблемах безопасности. Первое место занял межсайтовый скриптинг (XSS). Именно этот вид уязвимостей наиболее опасен, так как его достаточно легко использовать в атаках.

Второе место досталось возможности чтения за пределами границ (Out-of-bounds Write), а замкнула тройку брешь некорректной обработки входных данных.

Место Идентификатор Имя Баллы
[1] CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') 46.82
[2] CWE-787 Out-of-bounds Write 46.17
[3] CWE-20 Improper Input Validation 33.47
[4] CWE-125 Out-of-bounds Read 26.50
[5] CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer 23.73
[6] CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') 20.69
[7] CWE-200 Exposure of Sensitive Information to an Unauthorized Actor 19.16
[8] CWE-416 Use After Free 18.87
[9] CWE-352 Cross-Site Request Forgery (CSRF) 17.29
[10] CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') 16.44
[11] CWE-190 Integer Overflow or Wraparound 15.81
[12] CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') 13.67
[13] CWE-476 NULL Pointer Dereference 8.35
[14] CWE-287 Improper Authentication 8.17
[15] CWE-434 Unrestricted Upload of File with Dangerous Type 7.38
[16] CWE-732 Incorrect Permission Assignment for Critical Resource 6.95
[17] CWE-94 Improper Control of Generation of Code ('Code Injection') 6.53
[18] CWE-522 Insufficiently Protected Credentials 5.49
[19] CWE-611 Improper Restriction of XML External Entity Reference 5.33
[20] CWE-798 Use of Hard-coded Credentials 5.19
[21] CWE-502 Deserialization of Untrusted Data 4.93
[22] CWE-269 Improper Privilege Management 4.87
[23] CWE-400 Uncontrolled Resource Consumption 4.14
[24] CWE-306 Missing Authentication for Critical Function 3.85
[25] CWE-862 Missing Authorization 3.77

К слову, на днях эксперты компании Claroty опубликовали свой отчёт, в котором анализировались уязвимости АСУ ТП. По словам специалистов, 70% брешей в автоматизированных системах управления можно использовать удалённо.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Зондирующие DDoS-атаки в России выросли в 5000 раз за третий квартал

Аналитический центр StormWall сообщил о беспрецедентном росте сразу нескольких типов DDoS-атак в России в третьем квартале 2025 года. Эксперты отметили увеличение числа многовекторных атак, ковровых бомбардировок, зондирующих атак и атак на уровне L7 (уровень приложений) — впервые за всю историю наблюдений все эти типы показали рост одновременно.

Самый заметный всплеск пришёлся на многовекторные атаки: их стало в пять раз больше, чем годом ранее.

Доля таких атак выросла с 24% до 51% от общего числа. Эти атаки одновременно нацелены на разные уровни инфраструктуры — от сети до приложений — и считаются одними из самых опасных.

Не менее тревожна ситуация с так называемыми «ковровыми бомбардировками» — их количество увеличилось в 5,3 раза. В таких атаках злоумышленники атакуют не один сервер, а целые диапазоны IP-адресов, что может парализовать работу компаний.

Отдельного внимания заслужили зондирующие атаки, которые хакеры используют для разведки и тестирования систем защиты. Их количество выросло колоссально — в 5 тысяч раз по сравнению с прошлым годом. Эти атаки длятся всего несколько минут, но помогают злоумышленникам понять, как реагирует защита и где можно ударить сильнее. В третьем квартале на них пришлось 34% всех DDoS-атак в стране.

Также выросло число атак на уровне приложений (L7) — их стало больше на 36%. Они имитируют поведение обычных пользователей и нередко проходят мимо стандартных фильтров, вызывая перебои в работе сайтов и онлайн-сервисов.

«Впервые за один квартал мы видим такой масштабный рост разных типов DDoS-атак. Это уникальный случай для российского киберпространства. Если тенденция сохранится, бизнесу будет всё труднее защищать инфраструктуру от одновременных атак разных видов», — отметил сооснователь StormWall Рамиль Хантимиров.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru