Организация MITRE опубликовала ежегодный список наиболее критических уязвимостей программного обеспечения CWE Top 25 за 2024 год, проанализировав более 31 000 угроз безопасности, обнаруженных с середины 2023 по середину 2024 года. Исследование имеет стратегическое значение для специалистов по информационной безопасности и разработчиков программного обеспечения.
Методология исследования и классификация угроз
В основу анализа легли 31 770 уязвимостей CVE (Common Vulnerabilities and Exposures), зафиксированных за указанный период. Особое внимание уделялось проблемам, включённым в каталог Known Exploited Vulnerabilities (KEV) Агентства по кибербезопасности и защите инфраструктуры США (CISA). Уязвимости классифицируются по системе CWE (Common Weakness Enumeration), которая насчитывает около 1000 различных категорий.
Наиболее опасные классы уязвимостей 2024 года
По результатам анализа первые позиции рейтинга занимают:
- CWE-79 — межсайтовый скриптинг (XSS): наиболее распространённый класс уязвимостей
- CWE-787 — запись за пределами выделенного буфера (Out-of-bounds Write)
- CWE-89 — SQL-инъекция
- CWE-416 — использование освобождённой памяти (Use After Free)
- CWE-78 — внедрение команд ОС
- CWE-20 — некорректная проверка входных данных
- CWE-125 — чтение за пределами буфера
Значимость выявленных уязвимостей
Эксперты MITRE подчёркивают, что идентифицированные уязвимости представляют серьёзную угрозу для информационных систем. Они используются злоумышленниками для несанкционированного доступа к системам, хищения конфиденциальных данных и нарушения работы критически важных служб. Особую опасность представляют уязвимости, связанные с некорректной проверкой входных данных (CWE-20), утечкой информации (CWE-200) и проблемами аутентификации (CWE-287).
Кого затрагивают уязвимости из списка CWE Top 25
Риску подвержены следующие категории организаций и пользователей:
- Разработчики ПО — продукты, содержащие уязвимости из Top 25, могут стать вектором атак на клиентов
- Системные администраторы — инфраструктура, использующая непропатченное ПО с CWE-уязвимостями
- Организации с веб-приложениями — XSS и SQL-инъекции входят в первую тройку рейтинга
- Операторы критической инфраструктуры — уязвимости в промышленных системах управления
- Пользователи IoT-устройств — устройства с устаревшей прошивкой особенно уязвимы к CWE-78 и CWE-787
Что делать: практические рекомендации
CISA настоятельно рекомендует организациям использовать опубликованный список при разработке стратегий кибербезопасности. Конкретные шаги:
- Проверьте используемое ПО на наличие уязвимостей из CWE Top 25 через NVD (National Vulnerability Database)
- Внедрите статический анализ кода (SAST) для выявления CWE-уязвимостей на этапе разработки
- Применяйте принцип минимальных привилегий и валидацию всех входных данных (CWE-20)
- Настройте автоматический мониторинг новых CVE, связанных с вашим стеком технологий
- Используйте OWASP ASVS (Application Security Verification Standard) как базовый стандарт для тестирования веб-приложений
Публикация данного отчёта подчёркивает необходимость постоянного совершенствования практик безопасной разработки ПО. Полный список с описанием каждого класса уязвимостей доступен на официальном сайте MITRE CWE.
