Agosto 24, 2020 Uncategorized

I Bug software più pericolosi di quest’anno


bug software più pericolosi

Quali sono i bug software più pericolosi di quest’anno?

Abbiamo trovato un’interessantissimo articolo (che qui riportiamo) riguardo a questo argomento, qui l’articolo completo in inglese: LINK.

Nei nostri software ci possono essere parecchie debolezze: difetti, bug, vulnerabilità e altri tipi di errori trovati nel codice, nell’architettura, nella progettazione e negli aggiornamenti che potrebbero esporre il nostro sistema ad attacchi.

Un’organizzazione no-profit americana ha fatto un elenco dei software più pericolosi di quest’anno, valutando ogni punto debole in base sia alla gravità che alla prevalenza e utilizzando i dati CVE (Common Vulnerabilities and Exposures) del 2018 e 2019 dal National Vulnerability Database (NVD) (circa 27.000 CVE), tra cui punteggi del Common Vulnerability Scoring System (CVSS).

Cross-site scripting (XSS) è in cima alla lista

I punti deboli elencati nella Top 25 “CWE 2020 di MITRE” sono pericolosi perché, oltre a essere facili da trovare e sfruttare, gli aggressori possono potenzialmente assumere il pieno controllo dei sistemi vulnerabili, rubare dati sensibili o attivare un Denial-of-Service (DoS) dopo l’intrusione.

Qui di seguito la tabella riportata dall’articolo citato in precedenza che è progettata per fornire informazioni sui punti deboli della sicurezza dei software più critici e attuali.

RankIDNameScore
[1]CWE-79Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)46.82
[2]CWE-787Out-of-bounds Write46.17
[3]CWE-20Improper Input Validation33.47
[4]CWE-125Out-of-bounds Read26.50
[5]CWE-119Improper Restriction of Operations within the Bounds of a Memory Buffer23.73
[6]CWE-89Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)20.69
[7]CWE-200Exposure of Sensitive Information to an Unauthorized Actor19.16
[8]CWE-416Use After Free18.87
[9]CWE-352Cross-Site Request Forgery (CSRF)17.29
[10]CWE-78Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)16.44
[11]CWE-190Integer Overflow or Wraparound15.81
[12]CWE-22Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)13.67
[13]CWE-476NULL Pointer Dereference8.35
[14]CWE-287Improper Authentication8.17
[15]CWE-434Unrestricted Upload of File with Dangerous Type7.38
[16]CWE-732Incorrect Permission Assignment for Critical Resource6.95
[17]CWE-94Improper Control of Generation of Code (‘Code Injection’)6.53
[18]CWE-522Insufficiently Protected Credentials5.49
[19]CWE-611Improper Restriction of XML External Entity Reference5.33
[20]CWE-798Use of Hard-coded Credentials5.19
[21]CWE-502Deserialization of Untrusted Data4.93
[22]CWE-269Improper Privilege Management4.87
[23]CWE-400Uncontrolled Resource Consumption4.14
[24]CWE-306Missing Authentication for Critical Function3.85
[25]CWE-862Missing Authorization3.77

Le 10 maggiori vulnerabilità sfruttate dal 2016

Tre mesi fa circa, il 12 maggio, anche la “Cybersecurity and Infrastructure Security Agency” (CISA) e il “Federal Bureau of Investigation” (FBI) hanno pubblicato un elenco delle prime 10 sicurezze vulnerabili più colpite tra il 2016 e il 2019.

Questi malintenzionati hanno spesso sfruttato i bug nella tecnologia OLE (Object Linking and Embedding) di Microsoft, con il framework web Apache Struts che è la seconda tecnologia più colpita, sulla base dell’analisi degli attacchi informatici delle due agenzie governative dal 2016.

“Delle prime 10, le tre vulnerabilità più frequentemente utilizzate dagli hacker informatici sponsorizzati dagli stati provenienti da Cina, Iran, Corea del Nord e Russia, sono: CVE-2017-11882, CVE-2017-0199 e CVE-2012-0158”.

La CISA ha detto: “Tutte e tre queste vulnerabilità sono correlate alla tecnologia OLE di Microsoft”.

CISA ha anche affermato che questi hacker si sono concentrati sullo sfruttamento delle implementazioni frettolose di servizi di collaborazione cloud come “Office 365”, nonché sullo sfruttamento delle vulnerabilità Pulse Secure VPN senza patch (CVE-2019-11510) e Citrix VPN (CVE-2019-19781) nel 2020, dopo l’improvviso passaggio al lavoro a distanza causato dalla pandemia COVID-19.

I bug software più pericolosi e l’elenco completo delle prime 10 falle di sicurezza più sfruttate dal 2016 è elencato di seguito, con il link diretto al NATIONAL VULNERABILITY DATABASE.

CVEAssociated Malware
CVE-2017-11882Loki, FormBook, Pony/FAREIT
CVE-2017-0199FINSPY, LATENTBOT, Dridex
CVE-2017-5638JexBoss
CVE-2012-0158Dridex
CVE-2019-0604China Chopper
CVE-2017-0143Multiple using the EternalSynergy and EternalBlue Exploit Kit
CVE-2018-4878DOGCALL
CVE-2017-8759FINSPY, FinFisher, WingBird
CVE-2015-1641Toshliph, Uwarrior
CVE-2018-7600Kitty
2020 BugFree via Mario Bertona n° 82 - 28045 Invorio (NO) - P.IVA 05257500966 - info@bugfree.it - Privacy Policy
Designed by Lago digitale