Haberler
2022’in En Tehlikeli iki Güvenlik Açığı Geçtiğimiz Yıldan Kalma!
Siber saldırganların sistemleri ele geçirmesi dahil birçok saldırıya imkan veren en tehlikeli 25 güvenlik açığı detaylı bir şekilde açıklandı…
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (Cybersecurity and Infrastructure Security Agency – CISA) tarafından desteklenen araştırma, Ortak Hassasiyetler ve Zafiyetler (CVE) verilerini inceleyerek en tehlikeli güvenlik açıklarına yönelik bir liste çıkardı.
Halihazırda en çok rastlanan ve en ciddi güvenlik sorunlarına yol açan zafiyetlerin bilgisayar sistemlerini tamamen ele geçirmek, veri çalmak veya uygulamaların çalışmasını önlemek için kullanılabileceği belirtildi.
“CVE 25” listesinin riskleri önlemek adına yazılım mimarları, tasarımcılar, proje yöneticileri, güvenlik araştırmacıları, eğitmenler ve gelişen organizasyonlara destek veren kişiler için önemli bir kılavuz olacağı ifade edildi.
2022 senesinde en yüksek risk teşkil eden 25 CVE‘nin yer aldığı liste, mevcut 37,899 CVE incelenerek belirlendi.
Aynı zamanda, değerlendirmede CISA Bilinen İfşa Edilmiş Zafiyetler (KEV) Kataloğu da kullanıldı. CISA tarafından 2021’de hayata geçirilen katalog, tespit edilen zafiyetleri yamaması için federal ajanslara belli bir zaman dilimi sunuyor.
2022’in en önde gelen iki en ciddi zafiyeti ise geçtiğimiz yıldan kalma: CWE-787 (sınırların ötesinde bellek kusuru) ve CWE-79 (çapraz sayfa kurgulama zafiyeti). En çok rastlanan saldırı yöntemlerinden SQL injection temsil eden CWE-89 üç sıra yükselirken, bellek kusuru temsil eden CWE-125 iki sıra düşerek beşinciliğe geriledi.
Dördüncü sırada ise uygunsuz girdi doğrulaması zafiyetini temsil eden ve yerini koruyan CWE-20 yer alıyor. İşletim sistemi (OS) komut sızıntısı açığı CWE-78 ise bir sıra düşerek altıncılığa geriledi. Yedinci sırada “bedava olduktan sonra kullan” olarak da bilinen CWE-416 yer alırken, son üç sırayı CWE-22 (dosya ve dizinlere erişim sağlayan zafiyet), CWE-352 (çapraz site istek zafiyeti) ve CWE-434 (tehlikeli dosyaların yüklenmesini kısıtlamayan zafiyet) yer alıyor.
Listede CWE-77 (komut sızıntısı açıkları) sekiz sıra yükselerek 17’nci sıraya yerleşirken, zamanlama bozukluklarından zafiyet oluşturan CWE-362 11 sıra yükseldi ve 22’nciliğe yerleşti.
