Запись за пределами границ - самая опасная уязвимость в ПО по версии США

Правительство США составило рейтинг самых распространенных и значимых слабых мест программного обеспечения, которые приводят к опасным уязвимостям в системах и приложениях.

Список CWE Top 25 был подготовлен специалистами Института HSSEDI (Homeland Security Systems Engineering and Development Institute), работающего под эгидой Министерства внутренней безопасности и некоммерческой организации MITRE.

CWE (Common Weakness Enumeration) — это стандарт, который описывает типы уязвимостей ПО, таких как ошибки, баги, недостатки и другие. CWE отличается от CVE (Common Vulnerabilities and Exposures), который присваивает номер каждой конкретной уязвимости, обнаруженной в программном обеспечении.

Список CWE Top 25 рассчитывается путем анализа публичных данных об уязвимостях в Национальной базе данных уязвимостей ( National Vulnerability Database, NVD ) за последние 2 календарных года. Также учитываются данные об уязвимостях, которые эксплуатировались злоумышленниками в реальных атаках, согласно Каталогу известных эксплуатируемых уязвимостей CISA ( Known Exploited Vulnerabilities, KEV ).

• Во главе рейтинга – запись за пределами границ, которая может привести к переполнению буфера и исполнению произвольного кода.
• На втором месте – межсайтовый скриптинг (XSS), который позволяет внедрять злонамеренный код на веб-страницы и похищать данные пользователей.
• На третьем месте – SQL-инъекция, которая дает возможность выполнять произвольные запросы к базам данных и получать доступ к конфиденциальной информации.

Агентство по кибербезопасности и защите инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) рекомендует разработчикам и командам по безопасности продуктов ознакомиться со списком CWE Top 25 и принять необходимые меры для предотвращения или снижения риска возникновения уязвимостей. Агентство также планирует опубликовать дополнительные статьи, посвященные методологии расчета рейтинга, тенденциям в отображении уязвимостей и другим полезным темам.

Американские агентства по кибербезопасности CISA и NSA заявили в своём недавнем совместном руководстве , что контроллеры управления базовой платой (BMC) — это слабое звено в системах критической инфраструктуры, которое может быть использовано злоумышленниками для получения доступа к сетям и данным.

BMC делает возможным удалённое управление и контроль компьютерами и серверами даже при выключенной системе. Однако из-за их высокого уровня привилегий и доступности из сети — эти устройства часто привлекают внимание злоумышленников, которые могут использовать их в качестве точки входа для различных кибератак.

Напомним, что популярный репозиторий для разработчиков NPM страдает от проблемы безопасности , называемой «путаница в манифестах» (Manifest Confusion), которая подрывает доверие к пакетам и даёт возможность злоумышленникам прятать вредоносный код в зависимостях или выполнять злонамеренные скрипты при установке пакетов.