موسسه MITER، بیست و پنج مورد از خطرناک ترین آسیب پذیری های نرم افزاری را اعلام کرد

softeware bugs
موسسه MITER، بیست و پنج مورد از رایج ترین و خطرناک ترین نرم افزار های آسیب پذیر در طول دو سال اخیر را به اشتراک گذاشته است. نقاط ضعف نرم افزار، آسیب پذیریها و انواع مختلف از خطاها هستند که با تاثیر بر کد نرم افزاری، که بطور بالقوه روی سیستم ها در حال اجرا هستند آنها را در معرض حمله قرار می دهند.
این 25 آسیب پذیری بسیار خطر ناک هستند زیرا معمولا کشف آنها آسان است و به وفور از آنها استفاده می شود.
آنها همچنین می توانند توسط مهاجمان مورد سو استفاده قرار بگیرند تا به طور بالقوه کنترل کامل سیستم های آسیب پذیر را در دست بگیرند و داده های حساس را به سرقت ببرند.


در لیست زیر تعدادی از بحرانی ترین آسیب پذیری ها و ضعیف ترین نقاط امنیتی نرم افزارها را مشاهده می کنید:

RankIDNameScore
[1] CWE-787 Out-of-bounds Write 65.93
[2] CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') 46.84
[3] CWE-125 Out-of-bounds Read 24.9
[4] CWE-20 Improper Input Validation 20.47
[5] CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') 19.55
[6] CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') 19.54
[7] CWE-416 Use After Free 16.83
[8] CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') 14.69
[9] CWE-352 Cross-Site Request Forgery (CSRF) 14.46
[10] CWE-434 Unrestricted Upload of File with Dangerous Type 8.45
[11] CWE-306 Missing Authentication for Critical Function 7.93
[12] CWE-190 Integer Overflow or Wraparound 7.12
[13] CWE-502 Deserialization of Untrusted Data 6.71
[14] CWE-287 Improper Authentication 6.58
[15] CWE-476 NULL Pointer Dereference 6.54
[16] CWE-798 Use of Hard-coded Credentials 6.27
[17] CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer 5.84
[18] CWE-862 Missing Authorization 5.47
[19] CWE-276 Incorrect Default Permissions 5.09
[20] CWE-200 Exposure of Sensitive Information to an Unauthorized Actor 4.74
[21] CWE-522 Insufficiently Protected Credentials 4.21
[22] CWE-732 Incorrect Permission Assignment for Critical Resource 4.2
[23] CWE-611 Improper Restriction of XML External Entity Reference 4.02
[24] CWE-918 Server-Side Request Forgery (SSRF) 3.78
[25] CWE-77 Improper Neutralization of Special Elements used in a Command ('Command Injection') 3.58

10 آسیب پذیری مهمی که مورد سوء استفاده قرار میگیرند.


سال گذشته،  امنیت سایبری و آژانس امنیت زیرساخت  CISAو اداره تحقیقات فدرال  FBI نیز لیستی از 10 آسیب پذیری امنیتی مهم که در بین سال های 2016 و 2019 مورد سوء استفاده قرار گرفتند را منتشر کرد.
از میان 10 آسیب پذیری، سه آسیب پذیری که بیشتر از همه مورد توجه قرار گرفته است، عبارتند از: CVE-2017-11882 ، CVE-2017-0199 و CVE-2012-0158 که هر سه این آسیب پذیری ها  مربوط به مایکروسافت است.
هکرهای چینی از دسامبر 2018 به طور مکرر آسیب پذیری CVE-2012-0158 را مورد استفاده قرار دادند، که اهداف آنها به علت بروزرسانی های امنیتی با شکست مواجه  شده است ولی تا زمانی که آسیب پذیری برطرف نشده باشد به تلاش خود ادامه خواهند داد.
مهاجمان همچنین بر حفره های امنیتی ناشی از استفاده از خدمات ابری مانند Office 365 تمرکز دارند.
آسیب پذیری های پچ نشده  Pulse Secure VPN(CVE-2019-11510)و Citrix VPN
(CVE-2019-19781) که به علت بیماری کرونا معمولا بصورت دورکاری کارهای خود رو انجام می دهند بسیار مورد استفاده هستند.
CISA توصیه می کند آسانترین و راحت ترین راه برای رفع آسیب پذیری های امنیتی قدیمی بروزنشده استفاده نکردن از نرم افزار های قدیمی است.


لیست کامل 10 آسیب پذیری امنیتی مهم که از سال 2016 مورد سوء استفاده قرار میگیرد در جدول زیر  آورده شده است:

CVE Associated Malware
CVE-2017-11882 Loki, FormBook, Pony/FAREIT
CVE-2017-0199 FINSPY, LATENTBOT, Dridex
CVE-2017-5638 JexBoss
CVE-2012-0158 Dridex
CVE-2019-0604 China Chopper
CVE-2017-0143 Multiple using the EternalSynergy and EternalBlue Exploit Kit
CVE-2018-4878 DOGCALL
CVE-2017-8759 FINSPY, FinFisher, WingBird
CVE-2015-1641 Toshliph, Uwarrior
CVE-2018-7600 Kitty

منبع :

https://www.bleepingcomputer.com

 

افزودن دیدگاه جدید

نظر خودتان را ارسال کنید

کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفا وارد سایت شوید.

طراحی سایت طراحی سایت طراحی سایت طراحی سایت

کلیه حقوق این سایت محفوظ و متعلق به شرکت مهندسی تحقیق و توسعه ارتباط پانا می باشد.

گفتگوی آنلاین