Lista 25 popularnych i groźnych podatności w 2024 roku

Common Weakness Enumeration (CWE) to lista luk bezpieczeństwa w sprzęcie i oprogramowaniu (hardware & software), która jest aktualizowana przez społeczność i utrzymywana przez Departament Bezpieczeństwa Krajowego Stanów Zjednoczonych. Obecnie CWE składa się z ponad 900 pozycji na czterech różnych „poziomach abstrakcji”, czyli szczegółowości opisu.

Ogólna analiza

Z racji na zmianę metodologii tegoroczna edycja zestawienia znacząco różni się od tej z 2023 roku. Skok z 23 na 11 miejsce odnotowało Code Injection, czyli wstrzykiwanie złośliwego kodu.

Spadek o dziewięć pozycji zanotowały dwa rodzaje podatności: NULL Pointer Dereference (spadek z 12 na 21 pozycję) oraz Integer Overflow or Wraparound (z 14 na 23). Wspomniane typy podatności to błędy programistyczne – jeden z nich jest związany ze wskaźnikiem, zaś drugi z operacjami arytmetycznymi.

Typem z największą liczbą aktywnie eksploitowanych podatności są błędy Out-of-bounds Write, czyli zapisywanie danych poza określonym zakresem w pamięci. CEW znalazł 18 takich luk bezpieczeństwa.

Pięć pierwszych typów podatności

Tegoroczną palmę pierwszeństwa dzierży Cross-Site Scripting (XSS). Tuż zanim sklasyfikowano wspomniane wcześniej Out-of-bounds Write. Trzecie miejsce zajmuje dobrze znane SQL Injection, czyli nieuprawnione wstrzykiwanie zapytań do baz danych SQL.

Czwarte miejsce to z kolei CSRF (ang. Cross-Site Request Forgery), które Sekurak opisał następująco: „jest to zmuszenie przeglądarki ofiary do wykonania pewnej nieautoryzowanej akcji (wykonania requestu HTTP)”. Piątą pozycje dzierży tzw. path traversal, czyli nieuprawniony dostęp do plików za pomocą podania odpowiedniej ścieżki.

Inne ciekawe pozycje

Pełna lista typów podatności dostępna jest na stronie CWE. Spośród pozostałych 20 pozycji warto wyróżnić:

• Miejsce 9: Brak autoryzacji (ang. Missing Authorization);
• Miejsce 10: Możliwość przesyłania plików o groźnym rozszerzeniu (ang. Unrestricted Upload of File with Dangerous Type);
• Miejsce 15: Niepoprawne zarządzanie uprawnieniami (ang. Improper Privilege Management);
• Miejsce 22: Wykorzystywanie zakodowanych na stałe danych uwierzytelniających (ang. Use of Hard-coded Credentials);
• Miejsce 25: Brak uwierzytelniania dla krytycznej funkcji (ang. Missing Authentication for Critical Function);

Podsumowanie

Warto pamiętać, że nie każda podatność jest krytyczna oraz nie można kierować się jedynie zestawieniami (np. OWASP TOP 10) w procesie zarządzania podatnościami. Ostatnio wykryto sposób na klonowanie kluczy YubiKey, lecz nadal pozostają najbezpieczniejszą metodą uwierzytelniania dwuetapowego, zaś samo kopiowanie klucza od Yubico wymaga m.in. dostępu fizycznego i bardzo drogiego sprzętu.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]