Desenvolvimento de software

Os 25 principais pontos fracos do software program em 2024

novembro 28, 2024
José Peixoto Vieira Filho


Os 25 principais pontos fracos do software program em 2024Os 25 principais pontos fracos do software program em 2024

MITRE divulgou recentemente sua lista anual dos 2024 CWE Prime 25 pontos fracos de software program mais perigosos.

Esta lista difere das listas que contêm as vulnerabilidades mais comuns, pois não é uma lista de vulnerabilidades, mas sim pontos fracos no design do sistema que podem ser explorados para aproveitar as vulnerabilidades.

“Por definição, a injeção de código é um ataque, e quando pensamos no Prime 25 estamos identificando os pontos fracos subjacentes”, disse Alec Summers, líder de projeto dos programas CVE e CWE no MITRE.

Estas fraquezas podem potencialmente abrir caminho para vulnerabilidades e ataques, por isso é importante estar ciente delas e mitigá-las tanto quanto possível.

De acordo com Summers, uma tendência na lista deste ano é que, embora alguns pontos fracos subam ou desçam na lista, muitos dos pontos fracos da lista são pontos fracos clássicos que existem há anos, como aqueles que permitem injeção de SQL e cross- script do website.

“Quanto mais você entende essas fraquezas e traça conexões entre essas coisas, você pode realmente começar a eliminar courses inteiras de problemas que vemos tantas vezes”, disse ele.

Abordar estas fraquezas não só melhora a segurança do produto, mas também tem o potencial de poupar dinheiro às empresas porque “quanto mais fraquezas evitamos no desenvolvimento de produtos, menos vulnerabilidades temos de gerir após a implementação”, explicou.

A lista deste ano inclui os seguintes pontos fracos:

  1. Neutralização inadequada de entrada durante a geração de páginas da Net (‘Cross-site Scripting’)
  2. Escrita fora dos limites
  3. Neutralização inadequada de elementos especiais usados ​​em um comando SQL (‘SQL Injection’)
  4. Falsificação de solicitação entre websites (CSRF)
  5. Limitação inadequada de um nome de caminho para um diretório restrito (‘Path Traversal’)
  6. Leitura fora dos limites
  7. Neutralização inadequada de elementos especiais usados ​​em um comando do sistema operacional (‘injeção de comando do sistema operacional’)
  8. Use depois de graça
  9. Autorização ausente
  10. Add irrestrito de arquivo com tipo perigoso
  11. Controle Indevido de Geração de Código (‘Injeção de Código’)
  12. Validação de entrada inadequada
  13. Neutralização Indevida de Elementos Especiais Utilizados em um Comando (‘Injeção de Comando’)
  14. Autenticação inadequada
  15. Gerenciamento inadequado de privilégios
  16. Desserialização de dados não confiáveis
  17. Exposição de informações confidenciais a um ator não autorizado
  18. Autorização incorreta
  19. Falsificação de solicitação do lado do servidor (SSRF)
  20. Restrição inadequada de operações dentro dos limites de um buffer de memória
  21. Desreferência de ponteiro NULL
  22. Uso de credenciais codificadas
  23. Estouro de número inteiro ou wraparound
  24. Consumo descontrolado de recursos
  25. Autenticação ausente para função crítica

O conjunto de dados no qual a lista se baseia inclui registros de 31.779 vulnerabilidades e exposições comuns (CVEs) publicadas entre 1º de junho de 2023 e 1º de junho de 2024.

Segundo Summers, este ano, o método em que a lista foi criada foi diferente dos anos anteriores porque o MITRE e o CISA envolveram a comunidade de segurança mais ampla para analisar o conjunto de dados, enquanto nos anos anteriores a equipe de Enumeração de Fraquezas Comuns (CWE) do MITRE trabalhou sozinha.

Isso pode ter resultado em muitas mudanças em relação aos anos anteriores, e a lista deste ano apresentou apenas três pontos fracos que mantiveram a mesma classificação do ano passado: #3 Neutralização inadequada de elementos especiais usados ​​em um comando SQL (‘SQL Injection’), #10 Irrestrito Add de arquivo com tipo perigoso e falsificação de solicitação do lado do servidor nº 19 (SSRF).

Os pontos fracos que tiveram o maior movimento ascendente em relação à lista do ano passado são #4 Cross-Web site Request Forgery, que subiu cinco posições; #11 Controle Indevido de Geração de Código (‘Injeção de Código’), que subiu 12 posições; #15 Gerenciamento inadequado de privilégios, que subiu sete posições; e #18 Autorização Incorreta, que subiu seis posições.

Os pontos fracos que caíram significativamente na classificação incluem #12 Validação de entrada inadequada, que desceu seis classificações; #21 NULL Pointer Dereference, que desceu nove posições; #23 Integer Overflow ou Wraparound, que desceu nove posições; e #25 Autenticação ausente para função crítica, que desceu cinco classificações.

Este ano também houve duas novas entradas na lista e duas entradas que saíram do Prime 25. As novas entradas incluem #17 Exposição de Informações Sensíveis a um Ator Não Autorizado e #24 Consumo Não Controlado de Recursos. As entradas anteriores que não estão mais no Prime 25 são Execução Simultânea usando Recurso Compartilhado com Sincronização Inadequada (‘Condição de Corrida’) e Permissões Padrão Incorretas.

De acordo com o MITRE, uma possível causa das mudanças é que eles não receberam mapeamentos CWE dos analistas do Banco de Dados Nacional de Vulnerabilidade dos EUA para os registros CVE do primeiro semestre de 2024.

“Não está claro se essas lacunas afetam as classificações relativas, uma vez que a distribuição de CVEs não mapeados parece provavelmente se alinhar aproximadamente com a distribuição CWE de todo o conjunto de dados”, MITRE escreveu.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *