-
18/08/2021
-
45
-
73 bài viết
MITRE công bố danh sách 25 lỗ hổng nguy hiểm nhất 2022
Cơ quan An ninh Mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) và tổ chức phi lợi nhuận MITRE vừa công bố danh sách 25 lỗ hổng nguy hiểm nhất năm 2022.
Top 25 này bao gồm các lỗ hổng phổ biến và nghiêm trọng nhất, dựa trên phân tích dữ liệu của gần 38,000 hồ sơ CVE hai năm trước.
Một số thay đổi lớn bao gồm “Race Conditions” (điều kiện tương tranh) chuyển từ thứ hạng 33 lên 22, “Code Injection” (chèn mã) từ 28 lên 25 và “Uncontrolled Resource Consumption” (tiêu tốn tài nguyên không kiểm soát) từ 27 lên 23, đây cũng là những lỗ hổng mới lọt vào danh sách năm 2022. Command injection (chèn lệnh) và null pointer dereference (tham chiếu con trỏ null) cũng tăng một vài thứ hạng trong danh sách.
Ba lỗ hổng đã bị loại bỏ khỏi danh sách này so với danh sách năm 2021: exposure of sensitive information to an unauthorized actor (lộ thông tin nhạy cảm với tác nhân trái phép) giảm xuống còn 33, insufficiently protected credentials (thông tin đăng nhập bảo vệ không đầy đủ) giảm xuống còn 38 và incorrect permission assignment for critical resources (chỉ định quyền không chính xác cho các tài nguyên quan trọng) giảm xuống còn 30.
Một thay đổi đáng kể trong phương pháp được sử dụng để xây dựng top 25 CWE 2022 đó là việc sử dụng dữ liệu từ danh mục các lỗ hổng bị khai thác đã biết (KEV) của CISA mà cơ quan này đã đưa ra vào tháng 10 năm 2021, hiện bao gồm khoảng 800 lỗ hổng đã bị khai thác trong các cuộc tấn công.
Danh sách năm nay cũng bao gồm cột "số lượng KEV", đại diện cho số lượng CVE năm 2020 và 2021 được liên kết với từng loại lỗ hổng.
MITRE cho biết top 25 CWE có thể giúp các chuyên gia giảm thiểu rủi ro, bao gồm nhà thiết kế phần mềm, nhà phát triển, người thử nghiệm, quản lý dự án, người dùng, nhà giáo dục, nhà nghiên cứu an ninh và những người phát triển các tiêu chuẩn.
Top 25 này bao gồm các lỗ hổng phổ biến và nghiêm trọng nhất, dựa trên phân tích dữ liệu của gần 38,000 hồ sơ CVE hai năm trước.
Out-of-bounds write (ghi dữ liệu ngoài vùng bộ nhớ) và cross-site scripting (XSS) vẫn là hai lỗ hổng nguy hiểm nhất.Một số thay đổi lớn bao gồm “Race Conditions” (điều kiện tương tranh) chuyển từ thứ hạng 33 lên 22, “Code Injection” (chèn mã) từ 28 lên 25 và “Uncontrolled Resource Consumption” (tiêu tốn tài nguyên không kiểm soát) từ 27 lên 23, đây cũng là những lỗ hổng mới lọt vào danh sách năm 2022. Command injection (chèn lệnh) và null pointer dereference (tham chiếu con trỏ null) cũng tăng một vài thứ hạng trong danh sách.
Ba lỗ hổng đã bị loại bỏ khỏi danh sách này so với danh sách năm 2021: exposure of sensitive information to an unauthorized actor (lộ thông tin nhạy cảm với tác nhân trái phép) giảm xuống còn 33, insufficiently protected credentials (thông tin đăng nhập bảo vệ không đầy đủ) giảm xuống còn 38 và incorrect permission assignment for critical resources (chỉ định quyền không chính xác cho các tài nguyên quan trọng) giảm xuống còn 30.
Một thay đổi đáng kể trong phương pháp được sử dụng để xây dựng top 25 CWE 2022 đó là việc sử dụng dữ liệu từ danh mục các lỗ hổng bị khai thác đã biết (KEV) của CISA mà cơ quan này đã đưa ra vào tháng 10 năm 2021, hiện bao gồm khoảng 800 lỗ hổng đã bị khai thác trong các cuộc tấn công.
Danh sách năm nay cũng bao gồm cột "số lượng KEV", đại diện cho số lượng CVE năm 2020 và 2021 được liên kết với từng loại lỗ hổng.
MITRE cho biết top 25 CWE có thể giúp các chuyên gia giảm thiểu rủi ro, bao gồm nhà thiết kế phần mềm, nhà phát triển, người thử nghiệm, quản lý dự án, người dùng, nhà giáo dục, nhà nghiên cứu an ninh và những người phát triển các tiêu chuẩn.
Theo SecurityWeek
Chỉnh sửa lần cuối bởi người điều hành: