MITRE: XSS uznany za najgroźniejszą lukę w oprogramowaniu w 2024 roku

Według najnowszego raportu MITRE i CISA, luki typu Cross-Site Scripting (XSS) zostały uznane za największe zagrożenie bezpieczeństwa oprogramowania w 2024 roku. Wśród innych krytycznych podatności, które znalazły się na tegorocznej liście 25 najniebezpieczniejszych luk (CWE), wyróżniono także out-of-bounds write, SQL injection, CSRF oraz path traversal. Mimo zmiany metodologii oceny, klasyczne zagrożenia nadal stanowią największe ryzyko dla organizacji, podkreślając potrzebę inwestycji w bezpieczne praktyki programistyczne.

Nowa metodologia rankingu CWE

Coroczna lista Common Weakness Enumeration (CWE), opracowywana przez MITRE i Cybersecurity and Infrastructure Agency (CISA), w tym roku po raz pierwszy uwzględniła zarówno częstość występowania podatności, jak i ich potencjalne skutki.

„Luki, które są rzadko wykrywane, nie otrzymają wysokiego wyniku za częstotliwość, niezależnie od potencjalnych konsekwencji ich wykorzystania,” wyjaśniają autorzy metodologii. Najwyższe noty przyznano podatnościom, które są zarówno powszechne, jak i powodują znaczne szkody.

Najgroźniejsze luki w 2024 roku

Na szczycie listy CWE 2024 znalazły się następujące podatności:

1. Cross-Site Scripting (XSS) (awans z drugiego miejsca w 2023 roku),
2. Out-of-Bounds Write (lider ubiegłorocznej listy),
3. SQL Injection (utrzymuje trzecie miejsce),
4. Cross-Site Request Forgery (CSRF) (awans z dziewiątego miejsca),
5. Path Traversal (awans z ósmego miejsca).

Jak zauważa Alec Summers, lider projektu CVE Program w MITRE, mimo pewnych zmian w rankingu, stale obecne są „typowe zagrożenia”, takie jak CWE-79, CWE-89 czy CWE-125. „To niepokojące, że te i inne uporczywe słabości utrzymują się wysoko na liście,” podkreśla Summers.

Jednym z większych zaskoczeń w tegorocznym rankingu jest wzrost znaczenia CSRF, które przesunęło się z dziewiątego miejsca na czwarte. Summers sugeruje, że może to wynikać z większej uwagi badaczy bezpieczeństwa na ten typ podatności, poprawy narzędzi do ich wykrywania lub zmiany strategii atakujących.

Znaczenie listy CWE dla organizacji

Złożoność cyklu życia oprogramowania (SDLC) oraz rozbudowa łańcucha dostaw oprogramowania sprawiają, że organizacje muszą dokładnie monitorować swoje systemy, zanim drobne luki zamienią się w poważne zagrożenia. Summers apeluje, by firmy traktowały listę CWE jako przewodnik w kształtowaniu strategii bezpieczeństwa oprogramowania.

„Priorytetowe podejście do luk z listy CWE w procesie tworzenia i zakupu oprogramowania może pomóc organizacjom bardziej proaktywnie zarządzać ryzykiem,” zauważa Summers.

Bezpieczeństwo w łańcuchu dostaw oprogramowania

Summers podkreśla również, że działania te powinny obejmować cały łańcuch dostaw. Zaleca, aby organizacje wymagały od dostawców stosowania mapowania przyczyn problemów CVE z CWE. Taki proces może zwiększyć bezpieczeństwo produktów, a także zmniejszyć koszty, ograniczając liczbę podatności pojawiających się po wdrożeniu oprogramowania.

Współpraca społeczności CNAs

Rok 2024 był również pierwszym, w którym cała społeczność CVE Numbering Authorities (CNAs) przyczyniła się do opracowania listy CWE. W sumie 148 organizacji CNAs z 40 krajów uczestniczyło w tegorocznych pracach, podając swoje dane i spostrzeżenia. Według CVE.org, obecnie istnieje 421 takich organizacji na całym świecie.

Podsumowanie

Nowe podejście do rankingu CWE 2024 podkreśla rosnącą wagę monitorowania i eliminowania najpoważniejszych luk w oprogramowaniu. Organizacje powinny wykorzystać listę jako narzędzie pomocnicze w budowie bezpiecznych systemów, zarówno w procesie tworzenia, jak i przy wyborze dostawców oprogramowania. Inwestowanie w prewencję i odpowiednie praktyki programistyczne może nie tylko ograniczyć ryzyko, ale także przynieść realne oszczędności.

Oryginalny tekst znajduje się pod adresem: https://www.darkreading.com/application-security/cross-site-scripting-is-2024-most-dangerous-software-weakness 

Informację uzyskałem dzięki subskrybcji Lets Defend - Newslettera ze świata Cybersecurity.