25 kelemahan perangkat lunak teratas pada tahun 2024
25 kelemahan perangkat lunak teratas pada tahun 2024
[ad_1]
MITER baru-baru ini merilis daftar tahunannya 25 Kelemahan Perangkat Lunak Paling Berbahaya di CWE 2024.
Daftar ini berbeda dengan daftar yang berisi kerentanan paling umum karena ini bukan daftar kerentanan, melainkan kelemahan dalam desain sistem yang dapat dieksploitasi untuk mengeksploitasi kerentanan tersebut.
“Secara definisi, injeksi kode adalah sebuah serangan, dan ketika kami memikirkan 25 Besar, kami mengidentifikasi kelemahan di bawahnya,” kata Alec Summers, manajer proyek untuk program CVE dan CWE di MITRE.
Kelemahan ini berpotensi membuka pintu terhadap kerentanan dan serangan. Oleh karena itu, penting untuk mewaspadainya dan memitigasinya semaksimal mungkin.
Menurut Summers, salah satu tren dalam daftar tahun ini adalah meskipun beberapa kelemahan telah naik atau turun dalam daftar, sebagian besar kelemahan dalam daftar adalah kelemahan klasik yang telah ada selama bertahun-tahun, seperti kelemahan yang memungkinkan injeksi SQL dan interkoneksi. skrip situs.
“Semakin Anda memahami kelemahan-kelemahan ini dan menghubungkan hal-hal tersebut, Anda sebenarnya dapat mulai menghilangkan seluruh kategori masalah yang sering kita lihat,” ujarnya.
Mengatasi kelemahan ini tidak hanya meningkatkan keamanan produk, tetapi juga dapat menghemat uang perusahaan karena “semakin banyak kelemahan yang kita hindari selama pengembangan produk, semakin sedikit kerentanan yang harus ditangani setelah penerapan”, jelasnya.
Daftar tahun ini mencakup kelemahan berikut:
- Netralisasi input yang salah saat membuat halaman web (“Cross-site Scripting”)
- Menulis di luar batas
- Netralisasi elemen khusus yang salah yang digunakan dalam perintah SQL (“SQL Injection”)
- Pemalsuan Permintaan Lintas Situs (CSRF)
- Pembatasan nama jalur ke direktori terbatas (“Path Traversal”) salah
- Membaca di luar batas
- Mengganti elemen khusus yang digunakan dalam perintah sistem operasi (“injeksi perintah OS”) secara tidak benar
- Gunakan setelahnya secara gratis
- Otorisasi tidak ada
- Pengunduhan file berjenis berbahaya tanpa batas
- Kontrol pembuatan kode yang tidak tepat (“injeksi kode”)
- Validasi masukan salah
- Netralisasi yang salah dari elemen khusus yang digunakan dalam suatu perintah (“injeksi perintah”)
- Otentikasi salah
- Manajemen hak istimewa yang tidak tepat
- Deserialisasi data yang tidak tepercaya
- Paparan informasi sensitif kepada aktor yang tidak berwenang
- Otorisasi salah
- Pemalsuan permintaan sisi server (SSRF)
- Pembatasan operasi yang tidak tepat dalam batas buffer
- Dereferensi penunjuk NULL
- Menggunakan kredensial hardcode
- Overflow atau perulangan bilangan bulat
- Konsumsi sumber daya yang tidak terkendali
- Otentikasi untuk fungsi penting tidak ada
Kumpulan data yang menjadi dasar daftar ini mencakup catatan 31.779 kerentanan dan paparan umum (CVE) yang diterbitkan antara 1 Juni 2023 hingga 1 Juni 2024.
Menurut Summers, tahun ini metode Pembuatan daftar ini berbeda dibandingkan tahun-tahun sebelumnya karena MITRE dan CISA melibatkan komunitas keamanan yang lebih luas untuk menganalisis kumpulan data, sedangkan pada tahun-tahun sebelumnya tim Common Weakness Enumeration (CWE) MITER bekerja sendiri.
Hal ini mungkin mengakibatkan banyak perubahan dari tahun-tahun sebelumnya, dan daftar tahun ini hanya memiliki tiga kelemahan yang mempertahankan peringkat yang sama seperti tahun lalu: #3 Netralisasi elemen khusus yang tidak tepat yang digunakan dalam perintah SQL (” SQL Injection”), #10 Tidak Dibatasi Unggahan File Tidak Aman dan Pemalsuan Permintaan Sisi Server #19 (SSRF).
Kelemahan yang mengalami pertumbuhan paling besar dari daftar tahun lalu adalah Pemalsuan Permintaan Lintas Situs #4, yang naik lima peringkat; #11 Kontrol pembuatan kode yang tidak tepat (“injeksi kode”), yang naik 12 peringkat; #15 Manajemen Hak Istimewa yang Tidak Tepat, yang naik tujuh peringkat; dan #18 Otorisasi Salah, yang naik enam peringkat.
Kelemahan yang turun signifikan di peringkat antara lain No. 12, Validasi Entri Tidak Pantas yang turun enam peringkat; #21 NULL Pointer Dereference, yang turun sembilan peringkat; #23 Integer Overflow atau Wraparound, yang turun sembilan peringkat; dan #25 Otentikasi Hilang untuk Fungsi Kritis, yang turun lima peringkat.
Tahun ini, dua entri baru juga ditambahkan ke dalam daftar dan dua entri keluar dari Top 25. Entri baru mencakup nomor 17, Paparan Informasi Sensitif kepada Aktor Tidak Sah, dan nomor 24, Konsumsi Sumber Daya Tidak Terkendali. Entri sebelumnya yang tidak lagi masuk dalam 25 Teratas adalah eksekusi bersamaan menggunakan sumber daya bersama dengan waktu yang tidak tepat (“kondisi balapan”) dan izin default yang salah.
Menurut MITRE, salah satu kemungkinan penyebab perubahan ini adalah mereka tidak menerima pemetaan CWE dari analis Basis Data Kerentanan Nasional AS untuk catatan CVE dari paruh pertama tahun 2024.
“Tidak jelas apakah perbedaan ini mempengaruhi peringkat relatif, karena distribusi CVE yang belum dipetakan tampaknya cenderung selaras dengan distribusi CWE di seluruh kumpulan data,” MITRE menulis.
[ad_2]