Ngày 30 tháng 6 năm 2023Ravie LakshmananLỗ hổng / Bảo mật phần mềm
MITRE đã công bố danh sách hàng năm về Top 25 “điểm yếu phần mềm nguy hiểm nhất” cho năm 2023.
“Những điểm yếu này dẫn đến các lỗ hổng nghiêm trọng trong phần mềm”, Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng Hoa Kỳ (CISA) cho biết. “Kẻ tấn công thường có thể khai thác các lỗ hổng này để chiếm quyền kiểm soát hệ thống bị ảnh hưởng, đánh cắp dữ liệu hoặc ngăn các ứng dụng hoạt động.”
Danh sách này dựa trên phân tích dữ liệu về lỗ hổng công khai trong Dữ liệu về lỗ hổng quốc gia (NVD) để ánh xạ nguyên nhân gốc rễ tới các điểm yếu của CWE trong hai năm trước. Tổng cộng có 43.996 mục CVE đã được kiểm tra và điểm số được đính kèm cho từng mục dựa trên mức độ phổ biến và mức độ nghiêm trọng.
Đứng đầu là Viết ngoài giới hạn, tiếp theo là Viết kịch bản chéo trang, Tiêm SQL, Sử dụng sau khi miễn phí, Tiêm lệnh hệ điều hành, Xác thực đầu vào không đúng cách, Đọc ngoài giới hạn, Truyền tải đường dẫn, Giả mạo yêu cầu giữa các trang (CSRF) ) và Tải lên tệp có loại nguy hiểm không hạn chế. Out-of-bounds Write cũng chiếm vị trí đầu bảng vào năm 2022.
70 lỗ hổng được thêm vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) vào năm 2021 và 2022 là các lỗi Ghi ngoài giới hạn. Một hạng mục điểm yếu không nằm trong Top 25 là Hạn chế không phù hợp đối với Tham chiếu thực thể bên ngoài XML.
Nhóm nghiên cứu Common Weakness Enumeration (CWE) cho biết: “Phân tích xu hướng về dữ liệu dễ bị tổn thương như thế này cho phép các tổ chức đưa ra các quyết định chính sách và đầu tư tốt hơn trong việc quản lý lỗ hổng”.
Bên cạnh phần mềm, MITRE cũng duy trì một danh sách các điểm yếu quan trọng của phần cứng với mục đích “ngăn chặn các vấn đề bảo mật phần cứng tại nguồn bằng cách giáo dục các nhà thiết kế và lập trình viên về cách sớm loại bỏ những sai lầm quan trọng trong vòng đời phát triển sản phẩm.”
Tiết lộ này được đưa ra khi CISA, cùng với Cơ quan An ninh Quốc gia Hoa Kỳ (NSA), đưa ra các đề xuất và phương pháp hay nhất dành cho các tổ chức nhằm củng cố môi trường Tích hợp Liên tục/Phân phối Liên tục (CI/CD) của họ trước các tác nhân mạng độc hại.
Điều này bao gồm việc triển khai các thuật toán mã hóa mạnh khi định cấu hình ứng dụng đám mây, giảm thiểu việc sử dụng thông tin đăng nhập dài hạn, thêm ký mã an toàn, sử dụng quy tắc hai người (2PR) để xem xét các cam kết mã của nhà phát triển, áp dụng nguyên tắc đặc quyền tối thiểu (PoLP) , sử dụng phân đoạn mạng và thường xuyên kiểm tra các tài khoản, bí mật và hệ thống.
Các cơ quan cho biết: “Bằng cách thực hiện các biện pháp giảm thiểu được đề xuất, các tổ chức có thể giảm số lượng vectơ khai thác vào môi trường CI/CD của họ và tạo ra một môi trường đầy thách thức để kẻ thù xâm nhập”.
sự phát triển này cũng tuân theo những phát hiện mới từ Censys rằng gần 250 thiết bị chạy trên các mạng khác nhau của chính phủ Hoa Kỳ đã để lộ các giao diện quản lý từ xa trên web mở, nhiều thiết bị trong số đó chạy các giao thức từ xa như SSH và TELNET.
Các nhà nghiên cứu của Censys cho biết: “Các cơ quan của FCEB được yêu cầu thực hiện hành động tuân thủ BOD 23-02 trong vòng 14 ngày kể từ khi xác định được một trong những thiết bị này, bằng cách bảo mật thiết bị theo khái niệm Kiến trúc Zero Trust hoặc xóa thiết bị khỏi internet công cộng”.
Các giao diện quản lý từ xa có thể truy cập công khai đã nổi lên như một trong những con đường phổ biến nhất cho các cuộc tấn công của tin tặc quốc gia và tội phạm mạng, với việc khai thác giao thức máy tính từ xa (RDP) và VPN trở thành một kỹ thuật truy cập ban đầu được ưa chuộng trong năm qua, theo một báo cáo mới từ ReliaQuest.
