.
O tipo mais perigoso de bug de software é a gravação fora dos limites, de acordo com o MITRE esta semana. Esse tipo de falha é responsável por 70 falhas marcadas com CVE na lista de vulnerabilidades conhecidas do governo dos EUA que estão sob ataque ativo e precisam ser corrigidas, observamos.
Gravação fora dos limites, às vezes rotulada CWE-787também conquistou o primeiro lugar em 2022, mostrando uma nítida falta de melhoria.
Uma gravação fora dos limites acontece quando o software (e às vezes o hardware) altera a memória que não deveria, como gravar dados em um buffer de memória e ultrapassar o final desse buffer, fazendo com que ele altere inesperadamente outras variáveis e informações ou apenas colidir. Esse tipo de bug pode ser acionado acidentalmente durante a operação normal ou pode ser acionado deliberadamente pelo código de exploração.
Normalmente, o código de exploração induzirá uma gravação fora dos limites para alterar as estruturas de dados para que o fluxo de execução seja sequestrado e desviado da maneira que o invasor escolher, permitindo que eles assumam o controle do software, seja um aplicativo, um controle remoto serviço ou parte de um sistema operacional. Idealmente, o software deve ser escrito para evitar esse tipo de substituição e usar linguagens seguras de memória como Rust pode ajudar aqui.
O número dois na lista do MITRE é o bug de script cross-site menos complexo, mas ainda irritante (CWE-79), que foi fundamental em quatro CVEs nas vulnerabilidades exploradas conhecidas Catálogo mantida pela CISA do Tio Sam. Esse tipo de bug é uma forma sofisticada de falha em higienizar a entrada do usuário.
Número três – falhas de injeção SQL (CWE-89) — responde por quatro bugs explorados conhecidos no catálogo CISA. Novamente, outra forma de falha na sanitização de entrada. Limpe e neutralize suas entradas, pessoal. Você não pode presumir que todos os seus usuários são legais.
MITRE compila o relatório anual Lista dos 25 melhores CWE analisando dados públicos de vulnerabilidade na América Banco de Dados Nacional de Vulnerabilidade. A lista deste ano é baseada em 43.996 registros CVE para vulnerabilidades em 2021 e 2022 e foi emitida em mãos da Segurança Interna dos EUA e da CISA.
“Essas fraquezas levam a sérias vulnerabilidades no software”, disse a agência de segurança cibernética avisou hoje. “Um invasor geralmente pode explorar essas vulnerabilidades para assumir o controle de um sistema afetado, roubar dados ou impedir que os aplicativos funcionem”.
Na verdade, as três principais fraquezas de software mais perigosas para 2023 também foram as mais perigosas, e na mesma ordem, na lista de 2022. O progresso é lento, parece.
Hora de fazer o patch
Também hoje, a CISA acrescentou mais oito falhas à sua Catálogo de Vulnerabilidades Exploradas Conhecidas. Eles afetam os dispositivos D-Link e Samsung e são rastreados como:
- CVSS 9.8 — CVE-2019-17621 O roteador D-Link DIR-859 contém uma vulnerabilidade de execução de comando.
- CVSS 7.8 — CVE-2019-20500 Os pontos de acesso D-Link DWL-2600AP são vulneráveis a ataques de injeção de comando.
- CVSS 7.8 — CVE-2021-25487 Os dispositivos móveis Samsung são vulneráveis a leitura fora dos limites.
- CVSS 5.5 — CVE-2021-25489 Os dispositivos móveis Samsung contêm uma falha de validação de entrada imprópria.
- CVSS 6.4 — CVE-2021-25394 Os dispositivos móveis Samsung são suscetíveis a uma vulnerabilidade de condição de corrida.
- CVSS 9.0 — CVE-2021-25395 outro bug de condição de corrida em dispositivos móveis Samsung, mas este é crítico.
- CVSS 6.7 — CVE-2021-25371 uma falha não especificada em dispositivos móveis Samsung.
- CVSS 6.7 — CVE-2021-25372 Os dispositivos móveis Samsung contêm uma vulnerabilidade de verificação de limite imprópria.
O número quatro, no entanto, foi um dos “maiores movimentos” da lista, saltando do sétimo lugar no ano passado para o quarto lugar mais perigoso deste ano. Isso é CWE-416, ou use-after-free. Esse tipo de bug explorável ocorre quando um programa, serviço remoto ou componente do sistema operacional libera memória que não é mais necessária e continua a usá-la de qualquer maneira. Nesse ponto, ele está contando com a memória que pode ser, digamos, manipulada por algum outro código e pode levar a falhas ou seqüestro de execução.
Mais uma vez, as linguagens com segurança de memória são úteis aqui, pois abstraem esse gerenciamento complicado de memória ou garantem que o uso inseguro da memória seja bloqueado.
Alguns dos outros maiores motores da lista, de acordo com o MITRE, incluem CWE-862, que cobre erros de autorização ausentes. Essa fraqueza saltou da décima sexta posição no ano passado para a décima primeira em 2023.
Adicionalmente, CWE-269 (gerenciamento inadequado de privilégios) subiu sete posições, para 22 na lista, e CWE-863 (autorização incorreta) subiu de quatro posições para o número 24.
Há também algumas novas entradas na lista deste ano: CWE-269 (gerenciamento impróprio de privilégios), em 22º lugar, e CWE-863 (autorização incorreta) como recém-chegado na 24ª.
“Os CWEs estão se tornando cada vez mais prevalentes nas conversas sobre exposição de vulnerabilidades, pois a comunidade procura evitar as causas principais que podem se tornar vulnerabilidades”, de acordo com MITRA.
Para esse fim, a organização sem fins lucrativos publicará uma série de relatórios nos próximos meses com o objetivo de ajudar as organizações a usar “mais efetivamente” a lista dos 25 principais. Eles cobrirão uma variedade de tópicos, incluindo pontos fracos que não chegaram ao Top 25 – mas as organizações ainda devem estar cientes deles.
Também publicará um relatório sobre as tendências dos CWEs nos últimos quatro anos e um relatório sobre os pontos fracos ativamente explorados com base no catálogo da CISA. ®
.
