ALEXREDSEC Telegram 599
tgoop.com » United States » AlexRedSec » Telegram web » Post 599
AlexRedSec
CWE Top 25 и Top Routinely Exploited Vulnerabilities🔝

Пока был в отпуске, MITRE представила обновленный топ-25 наиболее опасных дефектов программного обеспечения за 2024 год, а CISA&Co выкатили топ регулярно эксплуатируемых уязвимостей за 2023 год.

2024 CWE Top 25
В топе дефектов программного обеспечения довольно много изменений по сравнению с 2023 годом. В первую очередь это может быть связано с изменением методологии анализа. В то же время авторы подчеркивают, что проблемы с наполнением базы NVD и ошибки при определении конечного дефекта CWE, явившегося причиной появления уязвимости, могут влиять на точность представленного топа, но "скорее всего, всё в рамках допустимой погрешности"😅
Подробнее про основные выводы можно почитать здесь, а ещё советую посмотреть аналогичную аналитику от компании DogeSec, которую они провели в конце октября (их топ на втором скрине) — есть отличия от топа MITRE, но несущественные.
Для себя выделил попадание в топы дефектов "Раскрытие конфиденциальной информации неавторизованному лицу" (CWE-200) и "Неконтролируемое потребление ресурсов" (CWE-400), которые могут приводить к утечкам и DoS-атакам соответственно😑

2023 Top Routinely Exploited Vulnerabilities
В топе регулярно/"повседневно" эксплуатируемых уязвимостей в этот раз 15+32 уязвимостей.
Из интересного:
➡️В топ-15 только одна уязвимость, обнаруженная в ПО с открытым исходным кодом (log4j).
Здесь не следует делать вывод о том, что опенсорсное ПО более безопасно — скорее, чаще атакуют богатые компании, где используется проприетарное ПО и оборудование.
В то же время наличие уязвимости 2021 года в топе 2023 года также говорит о том, что во многих организациях до сих пор стоит дырявая версия log4j и есть проблемы с обновлением зависимостей🥲
➡️Треть уязвимостей не имеет "публичного" кода эксплойта (в MetaSploit/Nuclei).
➡️Больше трети уязвимостей из основного топа — это уязвимости в сетевом оборудовании.
Подробную информацию об уязвимостях из топа можно посмотреть ещё в этом репозитории.

#vm #cve #mitre #cisa #cwe #vulnerability
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
www.tgoop.com/alexredsec/597
2.1K views



tgoop.com/alexredsec/599
Create:
Last Update:

CWE Top 25 и Top Routinely Exploited Vulnerabilities🔝

Пока был в отпуске, MITRE представила обновленный топ-25 наиболее опасных дефектов программного обеспечения за 2024 год, а CISA&Co выкатили топ регулярно эксплуатируемых уязвимостей за 2023 год.

2024 CWE Top 25
В топе дефектов программного обеспечения довольно много изменений по сравнению с 2023 годом. В первую очередь это может быть связано с изменением методологии анализа. В то же время авторы подчеркивают, что проблемы с наполнением базы NVD и ошибки при определении конечного дефекта CWE, явившегося причиной появления уязвимости, могут влиять на точность представленного топа, но "скорее всего, всё в рамках допустимой погрешности"😅
Подробнее про основные выводы можно почитать здесь, а ещё советую посмотреть аналогичную аналитику от компании DogeSec, которую они провели в конце октября (их топ на втором скрине) — есть отличия от топа MITRE, но несущественные.
Для себя выделил попадание в топы дефектов "Раскрытие конфиденциальной информации неавторизованному лицу" (CWE-200) и "Неконтролируемое потребление ресурсов" (CWE-400), которые могут приводить к утечкам и DoS-атакам соответственно😑

2023 Top Routinely Exploited Vulnerabilities
В топе регулярно/"повседневно" эксплуатируемых уязвимостей в этот раз 15+32 уязвимостей.
Из интересного:
➡️В топ-15 только одна уязвимость, обнаруженная в ПО с открытым исходным кодом (log4j).
Здесь не следует делать вывод о том, что опенсорсное ПО более безопасно — скорее, чаще атакуют богатые компании, где используется проприетарное ПО и оборудование.
В то же время наличие уязвимости 2021 года в топе 2023 года также говорит о том, что во многих организациях до сих пор стоит дырявая версия log4j и есть проблемы с обновлением зависимостей🥲
➡️Треть уязвимостей не имеет "публичного" кода эксплойта (в MetaSploit/Nuclei).
➡️Больше трети уязвимостей из основного топа — это уязвимости в сетевом оборудовании.
Подробную информацию об уязвимостях из топа можно посмотреть ещё в этом репозитории.

#vm #cve #mitre #cisa #cwe #vulnerability

BY AlexRedSec






Share with your friend now:
tgoop.com/alexredsec/599

View MORE
Open in Telegram


Telegram News

Date: |

During a meeting with the president of the Supreme Electoral Court (TSE) on June 6, Telegram's Vice President Ilya Perekopsky announced the initiatives. According to the executive, Brazil is the first country in the world where Telegram is introducing the features, which could be expanded to other countries facing threats to democracy through the dissemination of false content. The group also hosted discussions on committing arson, Judge Hui said, including setting roadblocks on fire, hurling petrol bombs at police stations and teaching people to make such weapons. The conversation linked to arson went on for two to three months, Hui said. A few years ago, you had to use a special bot to run a poll on Telegram. Now you can easily do that yourself in two clicks. Hit the Menu icon and select “Create Poll.” Write your question and add up to 10 options. Running polls is a powerful strategy for getting feedback from your audience. If you’re considering the possibility of modifying your channel in any way, be sure to ask your subscribers’ opinions first. Earlier, crypto enthusiasts had created a self-described “meme app” dubbed “gm” app wherein users would greet each other with “gm” or “good morning” messages. However, in September 2021, the gm app was down after a hacker reportedly gained access to the user data. The Channel name and bio must be no more than 255 characters long
from us


CWE Top 25 и Top Routinely Exploited Vulnerabilities🔝

 AlexRedSec TG
web: 599
AlexRedSec.Telegram web
AlexRedSec Telegram TG Channel
Telegram Updated:
Telegram AlexRedSec
FROM American