ABD’nin kar amacı gütmeyen siber güvenlik araştırma kuruluşu MITRE, 2023 için en tehlikeli 25 yazılım zayıflığı listesini yayınladı ve ilk üçü geçen yıla göre değişmedi.

2023 Ortak Zayıflık Sayımı (CWE) listesi, önceki iki takvim yılı için CWE zayıflıklarına temel neden eşlemeleri için Ulusal Güvenlik Açığı Veritabanındaki (NVD) genel güvenlik açığı verileri analiz edilerek hesaplanıyor.

Güvenlik açıkları, bir saldırgan tarafından uygulamaların ve sistemlerin kontrolünü ele geçirmek, onlardan veri çalmak veya başka bir şekilde çalışmalarını bozmak için kullanılabiliyor.

İlk üç zayıflık geçen yıla göre değişmedi ve bir kez daha CWE-787 olarak temsil edilen sınırların dışında yazma kusurları ile tamamlandı.Bir ürün, amaçlanan ara belleğin sonundan veya başlangıcından önce veri yazdığında, sınırların dışında yazma gerçekleşiyor. 

Siber tehdit tespitleri 2022 yılında rekor kırdı!

Trend Micro'nun 2022 yılını mercek altına alan yıl sonu raporu, saldırı yüzeyinin katlanarak genişlediğini ortaya...

Sonuç bir kilitlenme, bozulma veya kod yürütme olabilir. Ekibe göre, bu tür 70 güvenlik açığı Bilinen Yararlanılan Güvenlik Açıkları (KEV) listesine eklendi.

İkincisi, siteler arası komut dosyası oluşturma (XSS) olarak da bilinen ve üç türü bulunan web sayfası oluşturma sırasında girdinin uygun olmayan şekilde etkisiz hale getirilmesiydi.

İlki, sunucunun verileri doğrudan HTTP isteğinden okuduğu ve HTTP yanıtında geri yansıttığı XSS’yi yansıtıyor. Kötü amaçlı içerik daha sonra kurbanın tarayıcısı tarafından çalıştırılabiliyor.

İkincisi, kötü amaçlı verilerin bir veritabanında (örneğin bir mesaj forumu) depolandığı ve ardından dinamik içeriğe dahil edildiği XSS’de depolanır.

Üçüncüsü, istemcinin sayfaya XSS enjeksiyonunu gerçekleştirdiği DOM tabanlı XSS’dir.

İlk üçü tamamlayan, yanlış biçimlendirilmiş bir SQL sorgusunun öğelerinin komut olarak ele alınabileceği  SQL Injection.

SQL Injection, saldırıları çeşitli biçimler alabilir ve uygun korumalar olmadan işlenmek üzere veritabanına iletilen kullanıcı girdilerini ve çerezlere dayalı zehirli sorguları içerebilir.

Sırasıyla dördüncü ve beşinci konumlara çıkmak, CWE-416 olarak temsil edilen serbest kusurlardan sonra kullanım ve CWE-78 olarak temsil edilen ve aynı zamanda ‘OS komut enjeksiyonu’ olarak bilinen bir os komutunda kullanılan özel öğelerin uygunsuz nötrleştirilmesiydi.

‘Boşaltma sonrasında kullan’, serbest bırakıldıktan sonra bir programın çökmesine veya beklenmeyen bir kodun yürütülmesine neden olan belleğe başvurma uygulamasına atıfta bulunuyor. OS komut enjeksiyonu, adından da anlaşılacağı gibi, bir OS komutunun normalde izin verilmemesi gereken bir şekilde oluşturulmasına ve yürütülmesine izin veriyor. 

Olası sonuçlar arasında, diğer güvenlik açığı açıkları ile zincirlendiğinde, saldırganların bir kuruluşun makinesinde en fazla zararı vermek için gerekli ayrıcalıklarla komut yürütme yeteneği kazanmasına yol açabilen ayrıcalıkların yükseltilmesi yer alır.

“Ücretsiz kullan” güvenlik açığının yanı sıra, eksik yetkilendirme (CWE-862), uygunsuz ayrıcalık yönetimi (CWE-269) ve yanlış yetkilendirme (CWE-863) güvenlik açıkları listesinde üst sıralara yükseldi ve ikincisi ilk 25’e girdi .

Güvenilmeyen verilerin serisini kaldırma (CWE-502), sabit kodlanmış kimlik bilgilerinin kullanımı (CWE-798) ve yanlış varsayılan izinler CWE-276’nın tümü aşağı taşındı. 

Ekip, XML dış varlık referansının (CWE-611) uygunsuz kısıtlamasının bu yıl ilk 25’ten düştüğünü bildirdi.

Tam liste şuydu:

• CWE-787 – sınırların dışında yazma
• CWE-79 – web sayfası oluşturma sırasında girdinin uygun olmayan şekilde etkisiz hale getirilmesi (‘siteler arası komut dosyası oluşturma’)
• CWE-89 – bir sql komutunda (‘sql enjeksiyonu’) kullanılan özel öğelerin uygunsuz nötrleştirilmesi
• CWE-416 – ücretsiz kullanımdan sonra kullanın
• CWE-78 – bir os komutunda kullanılan özel öğelerin uygunsuz nötrleştirilmesi (“os komut enjeksiyonu”)
• CWE-20 – hatalı giriş doğrulaması
• CWE-125 – sınırların dışında okuma
• CWE-22 – bir yol adının kısıtlanmış bir dizine uygun olmayan şekilde sınırlandırılması (‘yol geçişi’)
• CWE-352 – siteler arası istek sahteciliği (csrf)
• CWE-434 – tehlikeli türde dosyanın sınırsız yüklenmesi
• CWE-862 – eksik yetkilendirme
• CWE 476 – boş işaretçi başvurusu
• CWE-287 – hatalı kimlik doğrulama
• CWE-190 – tam sayı taşması veya sarma
• CWE-502 – güvenilmeyen verilerin serisini kaldırma
• CWE-77 – bir komutta kullanılan özel öğelerin uygunsuz nötrleştirilmesi (“komut enjeksiyonu”)
• CWE-119 – bir bellek arabelleğinin sınırları içindeki işlemlerin uygun olmayan şekilde kısıtlanması
• CWE-798 – sabit kodlanmış kimlik bilgilerinin kullanımı
• CWE-918 – sunucu tarafı istek sahteciliği (ssrf)
• CWE-306 – kritik işlev için eksik kimlik doğrulaması
• CWE-362 – yanlış senkronizasyonla (‘yarış koşulu’) paylaşılan kaynak kullanılarak eşzamanlı yürütme
• CWE-269 – uygunsuz ayrıcalık yönetimi
• CWE-94 – kod üretiminin hatalı kontrolü (‘kod enjeksiyonu’)
• CWE-863 – yanlış yetkilendirme
• CWE-276 – hatalı varsayılan izinler

Bu verileri kullanma

Ekibe göre: “Bunun gibi güvenlik açığı verileriyle ilgili trend analizi, kuruluşların güvenlik açığı yönetiminde daha iyi yatırım ve politika kararları almasını sağlıyor”.

“Yazılımla uğraşan birçok profesyonel, CWE Top 25’i riski azaltmaya yardımcı olacak pratik ve kullanışlı bir kaynak olarak görecektir.”

Liste, CI/CD ortamlarını güçlendirmek isteyen kuruluşlar için faydalı bir referanstır. Güvenlik açıklarını kontrol etmek için tarama araçlarının varlığına rağmen liste, hataların en çok kullanılan ürünlere bile sızmaya devam ettiğini hatırlatıyor.