MITRE, un’organizzazione no-profit che gestisce centri di ricerca finanziati dal governo federale degli Stati Uniti, ha pubblicato la sua lista annuale dei “25 difetti software più pericolosi” per il 2023. Questi difetti possono portare a gravi vulnerabilità nel software, che un attaccante può spesso sfruttare per prendere il controllo di un sistema, rubare dati o impedire il funzionamento delle applicazioni.
I difetti software più pericolosi
La lista è basata sull’analisi dei dati pubblici sulle vulnerabilità nel National Vulnerability Data (NVD) per le mappature delle cause principali alle debolezze CWE degli ultimi due anni. Sono state esaminate un totale di 43.996 voci CVE e a ciascuna di esse è stato attribuito un punteggio basato sulla prevalenza e sulla gravità. In cima alla lista si trova l’Out-of-bounds Write, seguito da Cross-site Scripting, SQL Injection, Use After Free, OS Command Injection, Improper Input Validation, Out-of-bounds Read, Path Traversal, Cross-Site Request Forgery (CSRF), e Unrestricted Upload of File with Dangerous Type. L’Out-of-bounds Write ha anche occupato il primo posto nel 2022.
Analisi delle tendenze e gestione delle vulnerabilità
L’analisi delle tendenze sui dati delle vulnerabilità consente alle organizzazioni di prendere decisioni migliori in termini di investimenti e politiche nella gestione delle vulnerabilità. Inoltre, 70 delle vulnerabilità aggiunte al catalogo delle vulnerabilità note sfruttate (KEV) nel 2021 e 2022 erano bug Out-of-bounds Write. Una categoria di debolezza che è uscita dalla Top 25 è l’Improper Restriction of XML External Entity Reference.
Raccomandazioni per la sicurezza del software
Oltre al software, MITRE mantiene anche una lista delle debolezze hardware più importanti con l’obiettivo di prevenire problemi di sicurezza hardware alla fonte, educando i progettisti e i programmatori su come eliminare gli errori importanti all’inizio del ciclo di sviluppo del prodotto. Inoltre, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, insieme alla National Security Agency (NSA), ha rilasciato raccomandazioni e migliori pratiche per le organizzazioni per rafforzare i loro ambienti di integrazione continua/consegna continua (CI/CD) contro attori malintenzionati.