MITRE, geçmiş iki yıl boyunca yazılımcıların başına bela olan en yaygın ve en tehlikeli açıkların ilk 25 listesini paylaştı.
Yazılım zafiyetleri, bir yazılım çözümünün kodunu, mimarisini, uygulamasını veya tasarımını etkileyen ve üzerinde çalıştığı sistemleri potansiyel olarak saldırılara maruz bırakan kusurlar, hatalar, güvenlik açıkları ve diğer çeşitli hata türleridir.
MITRE, Ulusal Güvenlik Açığı Veritabanından (NVD) (yaklaşık 27.000 CVE) elde edilen 2019 ve 2020 yıllarına ait Yaygın Güvenlik Açıkları ve Etkilenmeleri (Common Vulnerabilities and Exposures) verilerini kullanarak ilk 25 listesini güncelledi.
MITRE tarafından yapılan açıklamaya göre “Bir CWE’nin bir güvenlik açığının temel nedeni olduğu sıklığı ile sömürünün öngörülen ciddiyetini birleştiren sıralı bir zayıflık sırasını hesaplamak için bir puanlama formülü kullanır. Bu yaklaşım, gerçek dünyada şu anda hangi güvenlik açıklarının görüldüğüne nesnel bir bakış sağlar, özel anketler ve görüşler yerine kamuya açık olarak bildirilen güvenlik açıkları üzerine kurulu bir analitik titizlik temeli oluşturur ve süreci kolayca tekrarlanabilir hale getirir.”
MITRE’nin 2021’deki en önemli 25 hatası, genellikle keşfedilmeleri kolay, yüksek etkiye sahip oldukları ve son iki yılda piyasaya sürülen yazılımlarda yaygın oldukları için tehlikelidir.
Ayrıca, saldırganlar tarafından, potansiyel olarak savunmasız sistemlerin tam kontrolünü ele geçirmek, hedeflerin hassas verilerini çalmak veya başarılı bir istismarın ardından bir hizmet reddini (DoS) tetiklemek için kötüye kullanılabilirler.
Aşağıdaki liste, genel olarak topluluğa en kritik ve güncel yazılım güvenliği zayıflıkları hakkında fikir vermektedir.
Sırası | ID | ADI | Puanı |
[1] | [CWE-787](https://cwe.mitre.org/data/definitions/787.html) | Out-of-bounds Write | 65.93 |
[2] | [CWE-79](https://cwe.mitre.org/data/definitions/79.html) | Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) | 46.84 |
[3] | [CWE-125](https://cwe.mitre.org/data/definitions/125.html) | Out-of-bounds Read | 24.9 |
[4] | [CWE-20]( https://cwe.mitre.org/data/definitions/20.html) | Improper Input Validation | 20.47 |
[5] | [CWE-78](https://cwe.mitre.org/data/definitions/78.html) | Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) | 19.55 |
[6] | [CWE-89](https://cwe.mitre.org/data/definitions/89.html) | Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) | 19.54 |
[7] | [CWE-416](https://cwe.mitre.org/data/definitions/416.html) | Use After Free | 16.83 |
[8] | [CWE-22](https://cwe.mitre.org/data/definitions/22.html) | Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) | 14.69 |
[9] | [CWE-352](https://cwe.mitre.org/data/definitions/352.html) | Cross-Site Request Forgery (CSRF) | 14.46 |
[10] | [CWE-434](https://cwe.mitre.org/data/definitions/434.html) | Unrestricted Upload of File with Dangerous Type | 8.45 |
[11] | [CWE-306](https://cwe.mitre.org/data/definitions/306.html) | Missing Authentication for Critical Function | 7.93 |
[12] | [CWE-190](https://cwe.mitre.org/data/definitions/190.html) | Integer Overflow or Wraparound | 7.12 |
[13] | [CWE-502](https://cwe.mitre.org/data/definitions/502.html) | Deserialization of Untrusted Data | 6.71 |
[14] | [CWE-287](https://cwe.mitre.org/data/definitions/287.html) | Improper Authentication | 6.58 |
[15] | [CWE-476](https://cwe.mitre.org/data/definitions/476.html) | NULL Pointer Dereference | 6.54 |
[16] | [CWE-798](https://cwe.mitre.org/data/definitions/798.html) | Use of Hard-coded Credentials | 6.27 |
[17] | [CWE-119](https://cwe.mitre.org/data/definitions/119.html) | Improper Restriction of Operations within the Bounds of a Memory Buffer | 5.84 |
[18] | [CWE-862](https://cwe.mitre.org/data/definitions/862.html) | Missing Authorization | 5.47 |
[19] | [CWE-276](https://cwe.mitre.org/data/definitions/276.html) | Incorrect Default Permissions | 5.09 |
[20] | [CWE-200](https://cwe.mitre.org/data/definitions/200.html) | Exposure of Sensitive Information to an Unauthorized Actor | 4.74 |
[21] | [CWE-522](https://cwe.mitre.org/data/definitions/522.html) | Insufficiently Protected Credentials | 4.21 |
[22] | [CWE-732](https://cwe.mitre.org/data/definitions/732.html) | Incorrect Permission Assignment for Critical Resource | 4.2 |
[23] | [CWE-611](https://cwe.mitre.org/data/definitions/611.html) | Improper Restriction of XML External Entity Reference | 4.02 |
[24] | [CWE-918](https://cwe.mitre.org/data/definitions/918.html) | Server-Side Request Forgery (SSRF) | 3.78 |
[25] | [CWE-77](https://cwe.mitre.org/data/definitions/77.html) | Improper Neutralization of Special Elements used in a Command (‘Command Injection’) | 3.58 |
En çok yararlanılan 10 güvenlik açığı
Geçen yıl, 12 Mayıs’ta Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), 2016 ve 2019 yılları arasında en çok yararlanılan 10 güvenlik açığının bir listesini de yayınlamıştı.
“İlk 10 içinde, Çin, İran, Kuzey Kore ve Rusya’dan devlet destekli siber aktörler arasında en sık kullanılan üç güvenlik açığı CVE-2017-11882, CVE-2017-0199 ve CVE-2012-0158,” CISA söz konusu. “Bu güvenlik açıklarının üçü de Microsoft’un OLE teknolojisiyle ilgilidir.”
Çinli bilgisayar korsanları Aralık 2018’den itibaren sık sık CVE-2012-0158‘den yararlanarak hedeflerinin güvenlik güncellemelerini hemen uygulayamadıklarını ve tehdit aktörlerinin yama yapılmadığı sürece hataları kötüye kullanmaya devam edeceklerini gösterdi.
Saldırganlar ayrıca Office 365 gibi bulut işbirliği hizmetlerinin aceleye getirilmesinden kaynaklanan güvenlik açıklarından yararlanmaya da odaklanıyor.
Yamasız Pulse Secure VPN güvenlik açıkları (CVE-2019-11510) ve Citrix VPN (CVE-2019-19781), devam eden COVID-19 pandemisinin neden olduğu uzaktan çalışmaya geçişin ardından geçen yıl da favori bir hedef oldu.
CISA, eski yama uygulanmamış güvenlik hatalarını azaltmanın en kolay ve en hızlı yolu olarak, ömrünü tamamlamış yazılımlardan mümkün olan en kısa sürede geçiş yapılmasını önerir.
2016’dan bu yana en çok yararlanılan 10 güvenlik açığının tam listesi, NVD girdilerine doğrudan bağlantılarla birlikte aşağıda mevcuttur.
CVE | İlişkili Kötü Amaçlı Yazılım |
[CVE-2017-11882](https://nvd.nist.gov/vuln/detail/CVE-2017-11882) | Loki, FormBook, Pony/FAREIT |
[CVE-2017-0199](https://nvd.nist.gov/vuln/detail/CVE-2017-0199) | FINSPY, LATENTBOT, Dridex |
[CVE-2017-5638](https://nvd.nist.gov/vuln/detail/CVE-2017-5638) | JexBoss |
[CVE-2012-0158](https://nvd.nist.gov/vuln/detail/CVE-2012-0158) | Dridex |
[CVE-2019-0604](https://nvd.nist.gov/vuln/detail/CVE-2019-0604) | China Chopper |
[CVE-2017-0143](https://nvd.nist.gov/vuln/detail/CVE-2017-0143) | Multiple using the EternalSynergy and EternalBlue Exploit Kit |
[CVE-2018-4878](https://nvd.nist.gov/vuln/detail/CVE-2018-4878) | DOGCALL |
[CVE-2017-8759](https://nvd.nist.gov/vuln/detail/CVE-2017-8759) | FINSPY, FinFisher, WingBird |
[CVE-2015-1641](https://nvd.nist.gov/vuln/detail/CVE-2015-1641) | Toshliph, Uwarrior |
[CVE-2018-7600](https://nvd.nist.gov/vuln/detail/CVE-2018-7600) | Kitty |
Hakan Yazıcı
Uygulama Güvenliği Mühendisi
Endpoint Bilgi Teknolojileri Güvenliği ArGe A.Ş – 2021
LinkedIn: https://www.linkedin.com/in/hakan-yazici/