Gönye, önceki iki yıl boyunca bu yılın en yaygın ve tehlikeli zayıflıklarının en yaygın ve tehlikeli zayıflıklarının listesini paylaştı.
Yazılım zayıflıkları, bir yazılım çözümünün kodunu, mimarlıklarını, uygulamasını veya tasarımı, potansiyel olarak maruz kaldığı sistemleri etkileyen kusurlar, hatalar, güvenlik açıkları ve çeşitli diğer hatalardır.
Gönye, Ulusal Güvenlik Açığı Veritabanından (NVD) (kabaca 27.000 CVES) elde edilen 2019 ve 2020'den ortak güvenlik açıkları ve maruz kalma (CVE) verilerini kullanarak ilk 25 listeyi geliştirdi.
MITER, "Bir puanlama formülü, bir CWE'nin, bir CWE'nin, bir kırılganlığın, sömürünün öngörülen ciddiyetinin kök nedeni olduğunu birleştiren, sömürünün öngörülen şiddetinin kök nedeni olduğunu hesaplamak için kullanılır" diye açıkladı.
"Bu yaklaşım, gerçek dünyada şu anda hangi güvenlik açıklarının görüldüğüne dair objektif bir görünüm sunar, öznel anketler ve görüşler yerine halka açık raporlanan güvenlik açıkları üzerine inşa edilen analitik bir titizlik temeli yaratır ve süreci kolayca tekrarlanabilir hale getirir."
Gönüldeki 2021 ilk 25 böcek tehlikelidir, çünkü genellikle keşfedilmesi kolaydır, yüksek etkiye sahipler ve son iki yıl boyunca yayınlanan yazılımlarda yaygındır.
Ayrıca, saldırganlar tarafından savunmasız sistemlerin tam olarak kontrol altına alınması, hedeflerin hassas verilerinin çalınması veya başarılı bir şekilde sömürün ardından hizmet reddi (DOS) tetiklemeleri için de istismar edilebilirler.
Aşağıdaki liste, topluluğa en kritik ve güncel yazılım güvenlik zayıflıklarına göre içgörü sağlar.
Geçen yıl, 12 Mayıs'ta, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), 2016 ve 2019 yılları arasında en iyi 10'un en fazla 10 güvenlik açıklarının bir listesini yayınlamıştı.
"İlk 10'un, Çin, İran, Kuzey Kore ve Rusya'dan Devlet Sponsorlu Siber Aktörler arasında en sık kullanılan üç güvenlik açıklaması CVE-2017-11882, CVE-2017-0199 ve CVE-2012-0158," CVE-2012-0158, " söz konusu. "Bu güvenlik açıklarından üçü de Microsoft'un OLE teknolojisi ile ilgilidir."
Çince bilgisayar korsanları, Aralık 2018'den başlayarak, hedeflerinin derhal güvenlik güncelleştirmelerini uygulamadıklarını ve tehdit aktörlerinin hataları düzelmedikleri sürece bu hataları kötüye kullanmaya devam edeceğini gösteren CVE-2012-0158'i sık sık sömürdü.
Saldırganlar, Office 365 gibi bulut işbirliği hizmetlerinin aceleci konuşlandırmalarının neden olduğu güvenlik boşluklarını sömürmeye odaklanmaktadır.
Açılmamış Nabız Secure VPN Güvenlik Açıkları (CVE-2019-11510) ve Citrix VPN (CVE-2019-19781), geçen yılın ardından, devam eden Covid-19 pandemisinin neden olduğu uzaktan çalışmaya geçtikten sonra favori bir hedef olmuştur.
CISA, eskiden açılmamış güvenlik hatalarını azaltmanın en kolay ve en hızlı yolu kadar en kolay ve en hızlı yol olarak hayat sonu yazılımdan uzaklaşmayı önerir.
2016 yılından bu yana en iyi 10'unun en fazla 10'unun tam listesi, NVD girişlerine doğrudan bağlantılarla aşağıda mevcuttur.
Tor tarayıcısı, yüklü uygulamaları kullanarak sizi izleyen güvenlik açığını düzeltir
İPhone Hatası, olağandışı isimle sıcak noktaya katılırken WiFi'yi kırar
Microsoft Paylaşımları Windows 10 Ciddi Sunucusu Güvenlik Açığı için geçici çözüm
Atlassian, müşterilerin eleştirel Jira güvenlik açığını düzeltmesini istedi
Yeni Windows 10 Güvenlik Açığı, kimsenin yönetici ayrıcalıklarını almasını sağlar
Kaynak: Bleeping Computer