Os especialistas do MITRE publicaram uma lista dos 25 problemas mais comuns e perigosos de 2022. Esses bugs podem potencialmente expor os sistemas a ataques, permitir que invasores assumam o controle de dispositivos vulneráveis, acessar informações confidenciais, ou causar uma negação de serviço.
Por falar nisso, também adoramos todos os tipos de listas e tops, por exemplo: Principais ameaças capturadas pelo Gridinsoft Anti-Malware, ou aqui está outro: PRINCIPAIS fatos sobre ataques de adware a serem lembrados hoje.
Desta vez, a lista foi compilada com o apoio do Instituto Nacional de Design e Engenharia de Sistemas de Segurança e da Agência de Segurança Cibernética e de Infraestrutura (CISA). Interessantemente, há alguns anos a lista foi construída com base em pesquisas e entrevistas pessoais com desenvolvedores, principais analistas de segurança, pesquisadores, e fornecedores.
Os problemas na lista têm seus próprios identificadores CWE (não deve ser confundido com CVE) – Enumeração de fraquezas comuns. CWE difere de CVE porque, na verdade, os primeiros são os antecessores dos últimos, aquilo é, CWE leva ao aparecimento de vulnerabilidades diretamente.
Os CWEs são divididos em mais de 600 categorias que combinam classes muito amplas de diversos problemas, como CWE-20 (validação de entrada incorreta), CWE-200 (divulgação de informação), e CWE-287 (autenticação incorreta).
MITRA relata que o conjunto de dados usado para compilar o novo top continha um total de 37,899 IDs CVE nos últimos dois anos civis. Também desta vez, a metodologia de cálculo mudou ligeiramente: a lista é baseada em informações do NVD (Banco de dados nacional de vulnerabilidades) e as vulnerabilidades exploradas conhecidas (KEV) Catálogo, que a CISA começou a compilar em 2021. Atualmente, KEV contém informações sobre 800 vulnerabilidades conhecidas usadas em ataques.
Os bugs mais perigosos do MITRE continuam sendo aqueles fáceis de detectar, ter um alto impacto, e são difundidos em software lançado nos últimos dois anos.
O principal 25 questões identificadas por especialistas do MITRE pode ser visto na tabela abaixo.
| Lugar | EU IA | Problema | Nota | Número de KEVs (CVEs) | Mudar de 2021 |
| 1 | CWE-787 | Entrada fora dos limites | 64,2 | 62 | 0 |
| 2 | CWE-79 | Neutralização de entrada incorreta durante a criação da página web (script entre sites) | 45,97 | 2 | 0 |
| 3 | CWE-89 | Neutralização incorreta de elementos especiais usados em comandos SQL (injeção SQL) | 22,11 | 7 | 3 |
| 4 | CWE-20 | Validação de entrada incorreta | 20,63 | 20 | 0 |
| 5 | CWE-125 | Leitura fora dos limites | 17,67 | 1 | -2 |
| 6 | CWE-78 | Neutralização incorreta de elementos especiais usados em comandos do sistema operacional (injeção de comando) | 17,53 | 32 | -1 |
| 7 | CWE-416 | Use depois de graça | 15,5 | 28 | 0 |
| 8 | CWE-22 | Travessia de diretório | 14,08 | 19 | 0 |
| 9 | CWE-352 | Falsificação de solicitação entre sites (CSRF) | 11,53 | 1 | 0 |
| 10 | CWE-434 | Downloads ilimitados de arquivos perigosos | 9,56 | 6 | 0 |
| 11 | CWE-476 | Desreferência de ponteiro nulo | 7,15 | 0 | 4 |
| 12 | CWE-502 | Desserialização de dados não confiáveis | 6,68 | 7 | 1 |
| 13 | CWE-190 | Estouro ou transporte de inteiro | 6,53 | 2 | -1 |
| 14 | CWE-287 | Autenticação inválida | 6,35 | 4 | 0 |
| 15 | CWE-798 | Usando credenciais codificadas | 5,66 | 0 | 1 |
| 16 | CWE-862 | Sem autorização | 5,53 | 1 | 2 |
| 17 | CWE-77 | Neutralização incorreta de elementos especiais utilizados em comandos (injeção de comando) | 5,42 | 5 | 8 |
| 18 | CWE-306 | Falta de autenticação para uma função crítica | 5,15 | 6 | -7 |
| 19 | CWE-119 | Limitação incorreta de operações dentro do buffer de memória | 4,85 | 6 | -2 |
| 20 | CWE-276 | Permissões padrão inválidas | 4,84 | 0 | -1 |
| 21 | CWE-918 | Falsificação de solicitação no servidor (SSRF) | 4,27 | 8 | 3 |
| 22 | CWE-362 | Condição de corrida | 3,57 | 6 | 11 |
| 23 | CWE-400 | Consumo descontrolado de recursos | 3,56 | 2 | 4 |
| 24 | CWE-611 | Restrição incorreta de links para XML externo | 3,38 | 0 | -1 |
| 25 | CWE-94 | Controle incorreto sobre geração de código (injeção de código) | 3,32 | 4 | 3 |
Comparado com o 2021 principal, três tipos de vulnerabilidades desapareceram da lista: divulgação de informações confidenciais a um sujeito não autorizado (caiu para 33º lugar), proteção insuficiente de credenciais (agora em 38º lugar) e atribuição incorreta de permissões para recursos críticos (30o lugar).
