Cross-site Scripting (XSS) es la debilidad más común de 2024 (¿NO TE DA VERGÜENZA?)
La lista de MITRE y CISA de las 25 debilidades de software más peligrosas de 2024 expone la necesidad de que las organizaciones sigan invirtiendo en código seguro.
La lista anual Common Weakness Enumeration (CWE) es elaborada por MITRE y la Agencia de Infraestructura y Ciberseguridad (CISA). Este año, por primera vez, su fórmula incluyó tanto la gravedad como la frecuencia de los fallos.
"Las debilidades que rara vez se descubrieron no recibirán una puntuación de frecuencia alta, independientemente de la consecuencia típica asociada con cualquier explotación", explica la página de metodología de la lista. "Las debilidades que son comunes y causaron un daño significativo recibirán las puntuaciones más altas".
Las principales debilidades del año, según la lista CWE 2024, fueron el Cross-site Scripting (XSS) (segundo el año pasado), seguido de Out-of-Bounds Write (ganador de 2023), SQL Injection (tercero el año pasado), Cross-Site Request Forgery (CSRF) (noveno en 2023) y Path Traversal (octavo el año pasado).
"Si bien vemos un poco de movimiento en las clasificaciones a lo largo de la lista, también seguimos viendo la presencia de los 'sospechosos habituales' (por ejemplo, CWE-79, CWE-89, CWE-125)", dice Alec Summers, el líder del proyecto para el Programa CVE en MITRE y uno de los autores de la lista. "Es una preocupación constante que estas y otras debilidades persistentes permanezcan en los primeros lugares del Top 25 de manera constante".
El único obstáculo real en la clasificación de este año, señala, fue el ascenso de CRSF del noveno puesto el año pasado al cuarto en 2024. "Esto podría reflejar un mayor énfasis en CSRF por parte de los investigadores de vulnerabilidades o tal vez haya mejoras en la detección de CSRF, o tal vez más adversarios se estén centrando en este tipo de problema. No podemos estar completamente seguros de por qué saltó de la forma en que lo hizo", dice Summers.
A medida que el Ciclo de Vida de Desarrollo de Software (SDLC) y la cadena de suministro de software se vuelven más laberínticos cada año, y las fallas de software cotidianas continúan proliferando, es cada vez más importante que las organizaciones controlen sus sistemas antes de que las debilidades cotidianas se conviertan en algo más grave, recomienda.
"Al observar el Top 25, se recomienda encarecidamente a las organizaciones que revisen y aprovechen la lista como un recurso de orientación para dar forma a sus estrategias de seguridad de software", dice Summers. "Al priorizarlos tanto en los procesos de desarrollo como de adquisición, las organizaciones pueden abordar el riesgo de manera más proactiva".
El fortalecimiento de la cadena de suministro de software comienza en casa
Esos esfuerzos también deberían extenderse a toda la cadena de suministro de software. Es cada vez más importante que las organizaciones adopten y exijan a sus proveedores que adopten el mapeo de causa raíz CVE con CWE. Esto fomenta un valioso ciclo de retroalimentación en el SDLC de una organización y la planificación del diseño de la arquitectura, lo que además de aumentar la seguridad del producto también puede ahorrar dinero: cuantas más debilidades se eviten en el desarrollo de su producto, menos vulnerabilidades habrá que gestionar después de la implementación.
Además de incorporar una nueva metodología para determinar qué fallas de software planteaban el mayor riesgo, 2024 fue el primer año en que la comunidad completa de Autoridades de Numeración CVE (CNA) contribuyó al esfuerzo del Programa CWE. En total, 148 CNA ayudaron a desarrollar la lista de este año, según el Proyecto CWE.
Fuente: Dark Reading
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!