Warum alte Cybersicherheitsschwachstellen immer noch ein großes Problem sind Jetzt ansehen
Mitre hat seinen Überblick über die am weitesten verbreiteten und kritischsten Schwachstellen in Software veröffentlicht, von denen viele leicht zu finden sind und von Cyberkriminellen ausgenutzt werden können, um Systeme zu übernehmen, Daten zu stehlen oder Anwendungen und sogar Computer zum Absturz zu bringen.
Die Liste der 25 gefährlichsten Softwareschwächen (Common Weakness Enumeration, CWE) 2021 beschreibt die häufigsten und schwerwiegendsten Sicherheitsprobleme.
Die Liste basiert auf veröffentlichten Daten zu Common Vulnerabilities and Exposures (CVE) sowie Daten aus der National Vulnerability Database (NVD) des National Institute of Standards and Technology (NIST) und den CVSS-Scores (Common Vulnerability Scoring System) der CVEs.
An erster Stelle der Liste mit der mit Abstand höchsten Punktzahl steht CWE-787: Out-of-bounds Write, eine Sicherheitslücke, bei der Software über das Ende oder vor den Anfang des beabsichtigten Puffers schreibt. Wie viele der Schwachstellen in der Liste kann dies zu Datenkorruption und Systemabstürzen führen sowie Angreifern die Möglichkeit geben, Code auszuführen.
„Diese Schwachstellen sind gefährlich, weil sie oft leicht zu finden und auszunutzen sind und es Gegnern ermöglichen, ein System vollständig zu übernehmen, Daten zu stehlen oder die Funktion einer Anwendung zu verhindern“, sagte Mitre in einem Blogbeitrag.
Mitre Corporation ist eine US-amerikanische Non-Profit-Organisation hinter dem MITRE ATT&CK-Framework – einer weltweit zugänglichen Wissensdatenbank über gegnerische Taktiken und Techniken, die auf realen Beobachtungen basieren.
SEE: Eine erfolgreiche Strategie für Cybersicherheit (ZDNet-Sonderbericht) | Laden Sie den Bericht als PDF herunter (TechRepublic)
An zweiter Stelle in der Liste steht CWE-79: Unsachgemäße Neutralisation von Eingaben während der Webseitengenerierung, eine Sicherheitslücke bei der websiteübergreifenden Skripterstellung, die Eingaben nicht korrekt neutralisiert, bevor sie als Ausgaben auf einer Website platziert werden. Dies kann dazu führen, dass Angreifer bösartige Skripte einschleusen und es ihnen ermöglichen, vertrauliche Informationen zu stehlen und andere bösartige Anfragen zu senden, insbesondere wenn sie Administratorrechte erlangen können.
Dritte in der Liste ist CWE-125: Out-of-bounds Read, eine Schwachstelle, die es Angreifern ermöglichen kann, sensible Informationen von anderen Speicherorten zu lesen oder einen Absturz zu verursachen.
Während viele der Sicherheitslücken potenziell sehr schädlich sind, wenn sie von Cyberkriminellen entdeckt und ausgenutzt werden, können die Schwachstellen häufig behoben werden, insbesondere für diejenigen, für die ein Sicherheitspatch verfügbar ist. Das Anwenden von Sicherheitspatches zur Behebung bekannter Schwachstellen ist eines der wichtigsten Dinge, die Unternehmen tun können, um ihre Netzwerke vor Cyberangriffen und Eindringlingen zu schützen.
Die CWE Top 25 2021 verwendet NVD-Daten aus den Jahren 2019 und 2020, die aus etwa 32.500 CVEs bestehen, die mit einer Schwäche verbunden sind. Die vollständige Liste ist auf der CWE-Website verfügbar.
MEHR ZUR CYBERSICHERHEIT
Dieser große Ransomware-Angriff wurde in letzter Minute vereitelt. So haben sie es entdecktMicrosoft-Patch-Dienstag vom Juni 2021: 50 gepatchte Schwachstellen, sechs Zero-Days in freier Wildbahn ausgenutztColonial Pipeline-Hack deckt Risse in der US-Energieabwehr gegen Cyberangriffe auf strong>Cloud-Sicherheit im Jahr 2021: Ein Business-Leitfaden zu wichtigen Tools und Best PracticesCybersicherheitswarnung: Russische Hacker zielen auf diese Schwachstellen ab, also jetzt patchen
