Danh sách 25 lỗ hổng phần mềm được cho là nguy hiểm và phổ biến nhất. nhiều lỗ hổng trong số đó rất dễ tìm thấy và có thể bị bọn tội phạm mạng lợi dụng để truy cập trái phép, đánh cắp dữ liệu hoặc gây ra sự cố cho ứng dụng, hệ thống.
Cảnh báo mới nhất từ Cơ quan An ninh Cơ sở hạ tầng & An ninh mạng Mỹ (CISA), một cơ quan của Bộ An ninh Nội địa phụ trách vấn đề an ninh mạng và bảo mật cơ sở hạ tầng quan trọng, cập nhật thêm thông tin về 25 điểm yếu bảo mật nguy hiểm nhất trong các sản phẩm phần mềm.
Theo MITRE Corporation, đại diện cho CISA và DHS, những lỗ hổng phần mềm phổ biến và có ảnh hưởng nhất trong danh sách Top 25 của CWE thường rất dễ tìm và khai thác. Những vấn đề này có thể dẫn đến các lỗ hổng có thể khai thác, cho phép tin tặc tấn công cà chiếm quyền kiểm soát hệ thống, đánh sập máy chủ, đánh cắp dữ liệu hoặc lỗi tải ứng ứng dụng.
Trong năm 2023, vị trí đầu đầu trong danh sách lỗ hổng nguy hiểm và phổ biến nhất trong phần mềm tương tự như năm ngoái: Out-of-bounds Write (CWE-787), một lỗ hổng có thể dẫn đến hỏng dữ liệu hoặc gây sự cố cho hệ thống,hoặc thực thi mã của những kẻ tấn công.
Đứng ở vị trí thứ hai trong danh sách là CWE-79 (Cross-site scripting) lỗ hổng XSS liên quan đến việc xử dữ liệu đầu vào không đúng trước khi phản hồi kết quả trên trang web. Lợi dụng điều này những kẻ tấn công có thể chèn các đoạn mã độc hại cho phép chúng ăn cắp thông tin nhạy cảm, gửi các yêu cầu độc hại khác, trong một số trường hợp đặc biệt, kẻ tấn công có thể giành được đặc quyền của quản trị viên.
Lổ hổng thứ ba là CWE-89, có liên quan đến lỗi bảo mật SQL Injection, một dạng lỗi dữ liệu đầu vào khác. Danh sách hàng đầu của CWE năm nay dựa trên dữ liệu từ 43.996 bản ghi CVE về các lỗ hổng được phát hiện từ năm 2021 đến 2022.
Vị trí thứ tư thuộc về lỗ hổng CW-416 (Use After Free) đứng thứ bảy vào năm ngoái. Lỗ hổng ngày càng phổ biến này liên quan đến các địa chỉ bộ nhớ vẫn được sử dụng sau khi được giải phóng, cho phép tin tặc khai thác hành vi không phù hợp và có khả năng làm sập hệ điều hành hoặc máy chủ hoặc thực thi mã độc từ xa.
Nhiều lỗ hổng có khả năng gây thiệt hại nghiêm trọng nếu chúng bị tội phạm mạng phát hiện và khai thác. Các điểm yếu này thường có thể được khắc phục bằng các bản vá bảo mật có sẵn. Áp dụng các bản vá bảo mật để sửa các lỗ hổng bảo mật đã biết là một trong những điều quan trọng mà các tổ chức có thể làm để giúp bảo vệ mạng của họ khỏi các cuộc tấn công mạng.
Ngoài danh sách hàng đầu của CWE, MITRE dự kiến sẽ phát hành một loạt danh sách vào mùa hè này trình bày chi tiết cách thông tin này có thể được sử dụng hiệu quả hơn trong cộng đồng bảo mật.