​⚡️Топ-25 киберугроз по версии MITRE: уязвимости, которые хакеры используют как оружие 💬 Компания MITRE представила обновлённый список из 25 наиболее опасных уязвимостей программного обеспечения, которые были выявлены среди 31 770 идентификаторов CVE с июня 2023 по июнь 2024 года. Эти уязвимости приводят к критическим сбоям, позволяя злоумышленникам получать контроль над системами, воровать данные и запускать атаки типа отказа в обслуживании. Ключевые слабости в программном обеспечении связаны с ошибками в коде, архитектуре и дизайне. MITRE подчёркивает, что такие проблемы часто легко находить и использовать, что делает их серьёзной угрозой для систем. В этом году рейтинг основывался на анализе уязвимостей, включённых в каталог известных эксплуатируемых уязвимостей CISA (KEV). CISA добавила, что приоритетное внимание к этим проблемам помогает разработчикам предотвращать уязвимости ещё на этапе создания программного обеспечения. В списке выделены такие опасности, как межсайтовый скриптинг ( CWE-79 ), запись за пределами выделенной памяти ( CWE-787 ) и SQL-инъекции ( CWE-89 ). Также была подчёркнута важность устранения известных проблем. Например, агентства по кибербезопасности, входящие в альянс Five Eyes, в прошлом месяце выпустили совместный отчёт, в котором указали, что большинство часто эксплуатируемых уязвимостей в 2023 году были связаны с атаками типа zero-day, когда уязвимость была известна, но не устранена. Особое внимание в отчёте уделено устранению проблем, связанных с использованием стандартных паролей, неправильной аутентификацией и выполнением команд ОС. CISA настоятельно рекомендует внедрять подходы «Secure by Design», чтобы исключать подобные уязвимости ещё на стадии проектирования. В дополнение к рейтингу, MITRE указала на необходимость пересмотра инвестиций и стратегий в области кибербезопасности. Это позволит не только снизить риски, но и повысить устойчивость IT-систем перед лицом всё более сложных угроз. 🔔 ITsec NEWS