Quali sono i bug software più pericolosi di quest’anno?
Abbiamo trovato un’interessantissimo articolo (che qui riportiamo) riguardo a questo argomento, qui l’articolo completo in inglese: LINK.
Nei nostri software ci possono essere parecchie debolezze: difetti, bug, vulnerabilità e altri tipi di errori trovati nel codice, nell’architettura, nella progettazione e negli aggiornamenti che potrebbero esporre il nostro sistema ad attacchi.
Un’organizzazione no-profit americana ha fatto un elenco dei software più pericolosi di quest’anno, valutando ogni punto debole in base sia alla gravità che alla prevalenza e utilizzando i dati CVE (Common Vulnerabilities and Exposures) del 2018 e 2019 dal National Vulnerability Database (NVD) (circa 27.000 CVE), tra cui punteggi del Common Vulnerability Scoring System (CVSS).
I punti deboli elencati nella Top 25 “CWE 2020 di MITRE” sono pericolosi perché, oltre a essere facili da trovare e sfruttare, gli aggressori possono potenzialmente assumere il pieno controllo dei sistemi vulnerabili, rubare dati sensibili o attivare un Denial-of-Service (DoS) dopo l’intrusione.
Qui di seguito la tabella riportata dall’articolo citato in precedenza che è progettata per fornire informazioni sui punti deboli della sicurezza dei software più critici e attuali.
Rank | ID | Name | Score |
---|---|---|---|
[1] | CWE-79 | Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) | 46.82 |
[2] | CWE-787 | Out-of-bounds Write | 46.17 |
[3] | CWE-20 | Improper Input Validation | 33.47 |
[4] | CWE-125 | Out-of-bounds Read | 26.50 |
[5] | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer | 23.73 |
[6] | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) | 20.69 |
[7] | CWE-200 | Exposure of Sensitive Information to an Unauthorized Actor | 19.16 |
[8] | CWE-416 | Use After Free | 18.87 |
[9] | CWE-352 | Cross-Site Request Forgery (CSRF) | 17.29 |
[10] | CWE-78 | Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) | 16.44 |
[11] | CWE-190 | Integer Overflow or Wraparound | 15.81 |
[12] | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) | 13.67 |
[13] | CWE-476 | NULL Pointer Dereference | 8.35 |
[14] | CWE-287 | Improper Authentication | 8.17 |
[15] | CWE-434 | Unrestricted Upload of File with Dangerous Type | 7.38 |
[16] | CWE-732 | Incorrect Permission Assignment for Critical Resource | 6.95 |
[17] | CWE-94 | Improper Control of Generation of Code (‘Code Injection’) | 6.53 |
[18] | CWE-522 | Insufficiently Protected Credentials | 5.49 |
[19] | CWE-611 | Improper Restriction of XML External Entity Reference | 5.33 |
[20] | CWE-798 | Use of Hard-coded Credentials | 5.19 |
[21] | CWE-502 | Deserialization of Untrusted Data | 4.93 |
[22] | CWE-269 | Improper Privilege Management | 4.87 |
[23] | CWE-400 | Uncontrolled Resource Consumption | 4.14 |
[24] | CWE-306 | Missing Authentication for Critical Function | 3.85 |
[25] | CWE-862 | Missing Authorization | 3.77 |
Tre mesi fa circa, il 12 maggio, anche la “Cybersecurity and Infrastructure Security Agency” (CISA) e il “Federal Bureau of Investigation” (FBI) hanno pubblicato un elenco delle prime 10 sicurezze vulnerabili più colpite tra il 2016 e il 2019.
Questi malintenzionati hanno spesso sfruttato i bug nella tecnologia OLE (Object Linking and Embedding) di Microsoft, con il framework web Apache Struts che è la seconda tecnologia più colpita, sulla base dell’analisi degli attacchi informatici delle due agenzie governative dal 2016.
“Delle prime 10, le tre vulnerabilità più frequentemente utilizzate dagli hacker informatici sponsorizzati dagli stati provenienti da Cina, Iran, Corea del Nord e Russia, sono: CVE-2017-11882, CVE-2017-0199 e CVE-2012-0158”.
La CISA ha detto: “Tutte e tre queste vulnerabilità sono correlate alla tecnologia OLE di Microsoft”.
CISA ha anche affermato che questi hacker si sono concentrati sullo sfruttamento delle implementazioni frettolose di servizi di collaborazione cloud come “Office 365”, nonché sullo sfruttamento delle vulnerabilità Pulse Secure VPN senza patch (CVE-2019-11510) e Citrix VPN (CVE-2019-19781) nel 2020, dopo l’improvviso passaggio al lavoro a distanza causato dalla pandemia COVID-19.
I bug software più pericolosi e l’elenco completo delle prime 10 falle di sicurezza più sfruttate dal 2016 è elencato di seguito, con il link diretto al NATIONAL VULNERABILITY DATABASE.
CVE | Associated Malware |
CVE-2017-11882 | Loki, FormBook, Pony/FAREIT |
CVE-2017-0199 | FINSPY, LATENTBOT, Dridex |
CVE-2017-5638 | JexBoss |
CVE-2012-0158 | Dridex |
CVE-2019-0604 | China Chopper |
CVE-2017-0143 | Multiple using the EternalSynergy and EternalBlue Exploit Kit |
CVE-2018-4878 | DOGCALL |
CVE-2017-8759 | FINSPY, FinFisher, WingBird |
CVE-2015-1641 | Toshliph, Uwarrior |
CVE-2018-7600 | Kitty |