Top 3 gevaarlijkste kwetsbaarheden zelfde als vorig jaar

MITRE is de not-for-profit onderzoeksorganisatie die verantwoordelijk is voor het CVE-systeem. Zij publiceert elk jaar een lijst van de meest voorkomende kwetsbaarheden. Doel van die publicatie is dat onder andere IT-beveiligers en programmeurs, testers en gebruikers daarmee aan de slag kunnen om risico’s voor hun IT-omgevingen in te perken.

Klassieke fouten

De top 3 dit jaar is identiek aan die van vorig jaar, met als ongeslagen 'kampioen' op de eerste plaats 'out-of-bounds write'. Hierbij schrijft de software data weg buiten de grenzen van een gedefinieerde buffer. Dat kan leiden tot gegevenscorruptie en een crash van het systeem. Daarlangs kunnen kwaadwillenden mogelijk eigen code uitvoeren, zoals dus malware, om (uiteindelijk) systemen over te nemen. Software zou zodanig ontwikkeld moeten worden dat dergelijke overwrites worden voorkomen, maar in de praktijk blijkt dit lang niet altijd te worden gedaan.

Ook ongewijzigd in de 2023-lijst van MITRE zijn de nummers twee en drie: cross-site scripting en SQL-injection. Bij eerstgenoemde worden op een legitieme, veilig geachte website scripts aangeroepen vanaf een hele andere site, die dan kwaadaardig kan zijn en zo kwaadaardige handelingen kan uitvoeren met data en gebruikers op de legitieme site. Bij SQL-injection worden malafide commando's ingevoerd op een SQL-database waardoor die voor de bijl kan gaan. Beide zwakheden zijn ook al vele jaren bekend, net zoals tegenmaatregelen ertegen.

Veranderingen

In de lagere regionen van MITRE's CWE-lijst is meer beweging zichtbaar. Zo zijn er forse toenames van het gebruik van kwetsbaarheden Use After Free, Missing Authorization, Improper Privilege Management en Incorrect Authorization. De grootste dalers zijn Deserialization of Untested Data, Use of Hard-coded Credentials en Incorrect Default Permissions. Die IT-missers komen tegenwoordig dus minder vaak voor.

Nieuwkomers zijn Improper Privilege Management en Incorrect Authorization.