MITRE ha compartido su lista de las 25 debilidades más peligrosas que han afectado al software durante los dos años anteriores. Estas incidencias abarcan una amplia gama de problemas, como vulnerabilidades y fallos en el código.
La presencia de estas debilidades puede comprometer la seguridad de los sistemas en los que se instala y ejecuta el software, siendo el punto de entrada a actores malintencionados para tomar el control.
El equipo de investigación de Common Weakness Enumeration (CWE) destaca que «el análisis de tendencias sobre datos de vulnerabilidad como éste permite a las organizaciones tomar mejores decisiones de inversión y políticas en la gestión de vulnerabilidades», según la declaración publicada en The Hacker News.
25 principales debilidades de software
Al compartir esta lista, MITRE brinda información valiosa sobre las debilidades de seguridad del software que son críticas y requieren una atención inmediata. Las 25 principales vulnerabilidades identificadas en 2023 son especialmente peligrosas debido a su impacto significativo y su amplia presencia en el software lanzado en los últimos dos años. Su explotación exitosa puede permitir a los atacantes tomar el control total de los sistemas objetivo, acceder y filtrar datos confidenciales, o causar una denegación de servicio (DoS).
La lista de debilidades se basa en un análisis del National Vulnerability Data (NVD) para las correspondencias de causa raíz con las debilidades CWE de los dos años anteriores. Se examinaron un total de 43.996 entradas de CVE y se asignó una puntuación a cada una de ellas en función de su prevalencia y gravedad. También se tuvo en cuenta el catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA, centrándose en los registros CVE incluidos en él.
En primer lugar, se encuentra la escritura fuera de los límites, seguida de la secuencia de comandos en sitios cruzados, la inyección SQL, el uso después de liberar, la inyección de comandos del sistema operativo, la validación de entrada inadecuada, la lectura fuera de los límites, la travesía de rutas, la falsificación de solicitudes en sitios cruzados (CSRF) y la carga sin restricciones de archivos de tipo peligroso. La escritura fuera de los límites también ocupó el primer puesto en 2022.
«Un atacante a menudo puede explotar estas vulnerabilidades para tomar el control de un sistema afectado, robar datos o impedir que las aplicaciones funcionen», aclaran los expertos de CISA, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos.
La guía de ciberseguridad de CISA y NSA
En un esfuerzo de colaboración que involucra a autoridades de ciberseguridad de todo el mundo, se lanzó en abril de 2023 una recopilación exhaustiva de las principales vulnerabilidades que se explotaron comúnmente a lo largo de 2022.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y la Agencia de Seguridad Nacional (NSA) han publicado una guía sobre ciberseguridad, Defending Continuous Integration/Continuous Delivery (CI/CD) Environments, con recomendaciones y mejores prácticas para que las organizaciones refuercen la seguridad de sus conductos CI/CD contra la amenaza de ciberactores maliciosos.
«NSA y CISA elaboraron este CSI para proporcionar recomendaciones y mejores prácticas para endurecer los conductos CI/CD contra MCA para asegurar los entornos DevSecOps CI/CD, independientemente de las herramientas que se adapten. Describe los riesgos clave para los despliegues de CI/CD, utilizando el marco ATT&CK® de MITRE para enumerar las vulnerabilidades potenciales de CI/CD
basadas en amenazas conocidas», se aclara en el informe.
Las organizaciones encontrarán en esta guía una lista de riesgos comunes que se encuentran en los conductos de CI/CD y las superficies de ataque que podrían explotarse y amenazar la seguridad de la red.
