Redazione RHC : 22 Luglio 2021 17:16
Mentre i bug rilevati dai ricercatori di sicurezza aumentano costantemente, il MITRE, come di consueto aggiorna la top 25, ovvero le debolezze più comuni e pericolose che affliggono il software nei due anni precedenti all’analisi.
MITRE ha sviluppato la top 25 list, utilizzando i dati Common Vulnerabilities and Exposures (CVE) del 2019 e 2020 ottenuti dal National Vulnerability Database (NVD), che risultano circa 27.000 CVE pubblicate nei due anni.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Avevamo riportato che i difetti con score superiore a 9.8 sono il leggera flessione, ma questi sono gli ultra-critici, ma gli altri bug della fascia “Critical”, rispetto alla classificazione CVSSv3, sono tutt’altro che in diminuzione.
I punti deboli del software sono difetti, bug, vulnerabilità e vari altri tipi di errori che influiscono sul codice, sull’architettura, sull’implementazione o nel design di una soluzione software, esponendo potenzialmente ad attacchi i formatici sui quali software sono in esecuzione.
Questi aggiornamenti prendono in considerazione la frequenza con cui un CWE (da non confondere con il CVE: Mentre il Common Weakness Enumeration descrive una vulnerabilità in modo astratto, la Common Vulnerability Exposure è una istanza della CWE calata nel suo contesto applicativo) è la causa principale di una vulnerabilità, spiega il MITRE.
Questa analisi è corretto che venga svolta in maniera ricorrente, in quanto i bug cambiano e anche la loro tipologia e la loro diffusione. Ad esempio OWASP risulta oggi molto indietro, pensiamo che le loro TOP10 OWASP web application, sono ferme al 2017.
“Questo approccio fornisce uno sguardo obiettivo su quali vulnerabilità sono attualmente osservate nel mondo reale, crea una base di rigore analitico costruita su vulnerabilità segnalate pubblicamente invece di sondaggi e opinioni soggettive e rende il processo facilmente ripetibile”.
Riporta il MITRE. I 25 migliori bug del 2021 di MITRE sono pericolosi perché di solito sono facili da scoprire, hanno un impatto elevato e sono prevalenti nel software rilasciato negli ultimi due anni.
Questo fa capire che non stiamo scrivendo software sicuro, ma che la complessità è talmente elevata e le righe di codice sterminate, che bug semplici altamente critici la fanno da padrone. D’altra parte, complessità e sicurezza informatica sono grandezze inversamente proporzionali, e all’aumentare della complessità, diminuisce la sicurezza dei sistemi, e questo lo abbiamo sempre detto su Red Hot Cyber.
L’elenco riportato sopra, ci fornisce informazioni sui punti deboli della sicurezza del software più critici che risultano i più attuali.
L’anno scorso, il 12 maggio, anche la Cybersecurity and Infrastructure Security Agency (CISA) e il Federal Bureau of Investigation (FBI) avevano pubblicato un loro elenco delle prime 10 vulnerabilità di sicurezza più sfruttate tra il 2016 e il 2019.
“Delle prime 10, le tre vulnerabilità utilizzate più frequentemente tra i cyber attori sponsorizzati dallo stato di Cina, Iran, Corea del Nord e Russia, ci sono la CVE-2017-11882, CVE-2017-0199 e CVE-2012-0158, tutte collegate all’ecosistema OLE di Microsoft Windows.
Gli hacker cinesi hanno spesso sfruttato la CVE-2012-0158 a partire da dicembre del 2018, dimostrando che le aziende non sono riuscite ad applicare tempestivamente gli aggiornamenti di sicurezza in modo tempestivo, e che finchè esisteranno tali vulnerabilità, i malintenzionati le sfrutteranno.
RedazioneGoogle sta trasformando il suo motore di ricerca in una vetrina per l’intelligenza artificiale, e questo potrebbe significare un disastro per l’intera economia digitale. Secondo un nuovo...
Il panorama delle minacce non dorme mai, ma stavolta si è svegliato con il botto. Il 18 luglio 2025, l’azienda di sicurezza Eye Security ha lanciato un allarme che ha subito trovato eco ne...
Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...
Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...
“Combattere il cybercrime è come estirpare le erbacce: se non elimini le radici a fondo, queste ricresceranno” e oggi, più che mai, questa verità si conferma ess...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
