As 25 principais vulnerabilidades de software em 2023 foram reveladas pelo Instituto de Engenharia e Desenvolvimento de Sistemas de Segurança Interna, órgão responsável por emitir essa lista anualmente. Surpreendentemente, as mesmas falhas do ano anterior ainda ocupam as posições mais altas desse ranking.
Em um alerta recente da Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA), um órgão do Departamento de Segurança Interna que lida com segurança cibernética e infraestrutura crítica, foi divulgada uma atualização sobre as 25 vulnerabilidades de segurança mais perigosas em produtos de software. A lista CWE Top 25 é baseada em dados públicos sobre problemas de software detectados nos últimos dois anos, revelando o preocupante estado da segurança cibernética nos EUA.
Leia também: Cibersegurança: Por que instituições bancárias estão na mira dos cibercriminosos?
De acordo com a Corporação MITRE, em nome do CISA e do DHS, as vulnerabilidades de software mais comuns e impactantes da lista CWE Top 25 são geralmente fáceis de encontrar e explorar. Esses problemas podem resultar em vulnerabilidades exploráveis, permitindo que invasores assumam sistemas, causem travamentos de servidores, roubem dados ou interrompam aplicativos.
Em 2023, a principal posição para a pior falha CWE permanece a mesma do ano passado: gravações fora dos limites (CWE-787). Esse tipo de problema de estouro de buffer ocorre quando uma rotina de software grava dados fora dos limites de um buffer, sobrescrevendo locais de memória adjacentes. Isso pode levar à corrupção de dados, travamentos ou execução de código. Escrever código em uma linguagem segura em termos de memória, como Rust, pode mitigar significativamente o problema.
A segunda vulnerabilidade mais frequente na lista CWE é a CWE-79, relacionada a erros de script entre sites (XSS) e à sanitização inadequada da entrada do usuário na web. A terceira é a CWE-89, associada a falhas de segurança de Injeção de SQL, outra forma de falha na sanitização de entrada. A lista CWE Top deste ano é baseada em dados de 43.996 registros CVE de vulnerabilidades descobertas entre 2021 e 2022.
A quarta posição é ocupada por falhas de Uso Após Liberação (Use After Free) (CWE-416), que ficou em sétimo lugar no ano passado. Essa falha cada vez mais popular está relacionada a endereços de memória que ainda são usados depois de liberados, permitindo que o invasor explore comportamentos inadequados e, potencialmente, cause travamentos em sistemas operacionais ou servidores, ou execute código malicioso remotamente.
As CWEs estão se tornando cada vez mais presentes nas discussões sobre exposição a vulnerabilidades, à medida que a comunidade tenta evitar as causas raiz desses problemas e as vulnerabilidades de segurança que podem gerar. Além da lista CWE Top, espera-se que o MITRE lance uma série de artigos neste verão detalhando como essas informações podem ser usadas de maneira mais eficaz dentro da comunidade de segurança.
