MITRE公布最危险软件漏洞TOP25榜单

在快速变化的网络威胁环境中,漏洞始终是网络攻击的主要切入点。近日,美国网络安全组织MITRE更新了2024年CWE Top 25最危险软件漏洞榜单,汇总了2024年全球最常见、最具影响力的软件漏洞,为企业、开发者和安全研究人员提供重要参考。

什么是CWE Top 25?

CWE(Common Weakness Enumeration,公共弱点枚举)是一种标准化的安全漏洞分类方式,由MITRE主导开发。每年更新的CWE Top 25列表基于漏洞被利用的频率和严重性,反映了全球网络攻击的最新趋势。榜单旨在帮助企业和开发者识别并优先修复高危漏洞,从而降低被攻击的风险。

2024年CWE Top 25完整列表:

2024年榜单亮点

与往年相比,2024年的榜单展现了网络威胁趋势的显著变化:

1.跨站脚本(XSS)漏洞跃居榜首

从去年的第二位升至第一,XSS漏洞的高排名表明其依然是攻击者利用的主要目标。XSS允许攻击者注入恶意代码,从而窃取用户数据或劫持会话。

2.内存越界写入漏洞(Out-of-Bounds Write)下滑至第二位

尽管排名下降,内存越界写入仍是高危漏洞,常被用于执行任意代码或造成系统崩溃。

3.SQL注入(SQL Injection)稳居第三

SQL注入漏洞多年来居高不下,攻击者可通过未加验证的输入操纵数据库查询,导致数据泄露或破坏。

4.新兴漏洞趋势

  • 跨站请求伪造(CSRF):排名提升五位至第八,表明攻击者更频繁利用用户未授权的请求。
  • 路径遍历(Path Traversal):通过操控文件路径获取敏感信息,排名上升三位。
  • 敏感信息暴露(Exposure of Sensitive Information):从去年的第30位跃升至第14位,显示数据隐私保护的重要性持续上升。
  • 非受控资源消耗(Uncontrolled Resource Consumption):首次进入榜单,排名第24,表明拒绝服务攻击依然是网络威胁的重要形式。

5.从榜单中消失的漏洞

“不正确的默认权限(Incorrect Default Permissions)和“竞争条件(Race Condition)”已退出前25名,表明相关防护技术的进步。

如何应对TOP25漏洞?

网络安全机构和专家建议关注以下五大措施:

  • 采用“安全设计”理念:从软件开发阶段引入安全性,减少后期修复成本。
  • 漏洞优先级管理:将CWE Top 25漏洞列为修复重点,制定明确的时间表。
  • 加强开发者培训:提高开发人员的安全编码能力,减少漏洞引入的可能。
  • 持续监控和测试:利用动态和静态分析工具定期检查代码中的弱点。
  • 供应链安全:确保外包和第三方软件符合安全标准。

参考链接:

https://cwe.mitre.org/top25/archive/2024/2024_cwe_top25.html

前一篇朝鲜黑客集体“出海务工”
后一篇俄黑客通过“近邻攻击”远程入侵美国企业WiFi网络