MITRE aggiorna i TOP25 bug di sicurezza: semplici e facili da sfruttare.

Aggiornamento: lug 23


Mentre i bug rilevati dai ricercatori di sicurezza aumentano costantemente, il MITRE, come di consueto aggiorna la top 25, ovvero le debolezze più comuni e pericolose che affliggono il software nei due anni precedenti all'analisi.


MITRE ha sviluppato la top 25 list, utilizzando i dati Common Vulnerabilities and Exposures (CVE) del 2019 e 2020 ottenuti dal National Vulnerability Database (NVD), che risultano circa 27.000 CVE pubblicate nei due anni.



Avevamo riportato che i difetti con score superiore a 9.8 sono il leggera flessione, ma questi sono gli ultra-critici, ma gli altri bug della fascia "Critical", rispetto alla classificazione CVSSv3, sono tutt'altro che in diminuzione.


I punti deboli del software sono difetti, bug, vulnerabilità e vari altri tipi di errori che influiscono sul codice, sull'architettura, sull'implementazione o nel design di una soluzione software, esponendo potenzialmente ad attacchi i formatici sui quali software sono in esecuzione.


Questi aggiornamenti prendono in considerazione la frequenza con cui un CWE (da non confondere con il CVE: Mentre il Common Weakness Enumeration descrive una vulnerabilità in modo astratto, la Common Vulnerability Exposure è una istanza della CWE calata nel suo contesto applicativo) è la causa principale di una vulnerabilità, spiega il MITRE.


Questa analisi è corretto che venga svolta in maniera ricorrente, in quanto i bug cambiano e anche la loro tipologia e la loro diffusione. Ad esempio OWASP risulta oggi molto indietro, pensiamo che le loro TOP10 OWASP web application, sono ferme al 2017.



"Questo approccio fornisce uno sguardo obiettivo su quali vulnerabilità sono attualmente osservate nel mondo reale, crea una base di rigore analitico costruita su vulnerabilità segnalate pubblicamente invece di sondaggi e opinioni soggettive e rende il processo facilmente ripetibile".

Riporta il MITRE. I 25 migliori bug del 2021 di MITRE sono pericolosi perché di solito sono facili da scoprire, hanno un impatto elevato e sono prevalenti nel software rilasciato negli ultimi due anni.


Questo fa capire che non stiamo scrivendo software sicuro, ma che la complessità è talmente elevata e le righe di codice sterminate, che bug semplici altamente critici la fanno da padrone. D'altra parte, complessità e sicurezza informatica sono grandezze inversamente proporzionali, e all'aumentare della complessità, diminuisce la sicurezza dei sistemi, e questo lo abbiamo sempre detto su Red Hot Cyber.





L'elenco riportato sopra, ci fornisce informazioni sui punti deboli della sicurezza del software più critici che risultano i più attuali.


L'anno scorso, il 12 maggio, anche la Cybersecurity and Infrastructure Security Agency (CISA) e il Federal Bureau of Investigation (FBI) avevano pubblicato un loro elenco delle prime 10 vulnerabilità di sicurezza più sfruttate tra il 2016 e il 2019.



"Delle prime 10, le tre vulnerabilità utilizzate più frequentemente tra i cyber attori sponsorizzati dallo stato di Cina, Iran, Corea del Nord e Russia, ci sono la CVE-2017-11882, CVE-2017-0199 e CVE-2012-0158, tutte collegate all'ecosistema OLE di Microsoft Windows.


Gli hacker cinesi hanno spesso sfruttato la CVE-2012-0158 a partire da dicembre del 2018, dimostrando che le aziende non sono riuscite ad applicare tempestivamente gli aggiornamenti di sicurezza in modo tempestivo, e che finchè esisteranno tali vulnerabilità, i malintenzionati le sfrutteranno.