חברת MITER הוצג
רשימה מעודכנת של 25 פגיעויות התוכנה המובילות שזוהו בין 31,770 CVEs מיוני 2023 עד יוני 2024. פגיעויות אלו גורמות לכשלים קריטיים, ומאפשרות לתוקפים להשיג שליטה במערכות, לגנוב נתונים ולהפעיל התקפות מניעת שירות.
חולשות מפתח בתוכנה קשורות לשגיאות בקוד, בארכיטקטורה ובעיצוב. MITER מדגיש שלעתים קרובות קל למצוא ולנצל בעיות כאלה, מה שהופך אותן לאיום רציני על המערכות. הדירוג השנה התבסס על ניתוח של פגיעויות הכלולות בקטלוג CISA Known Exploitable Vulnerabilities (KEV).
CISA הוסיפה כי תעדוף נושאים אלו מסייע למפתחים למנוע פגיעויות בשלב פיתוח התוכנה. הרשימה מדגישה סכנות כמו סקריפטים בין-אתרים ( CWE-79 ), כתוב מחוץ לגבולות הזיכרון שהוקצה ( CWE-787 ) והזרקת SQL ( CWE-89 ).
כמו כן הודגשה חשיבות הטיפול בנושאים ידועים. לדוגמה, סוכנויות אבטחת סייבר בברית חמש העיניים בחודש שעבר פרסם דו"ח משותף מה שהצביע על כך שרוב הפגיעויות המנוצלות תכופות בשנת 2023 היו קשורות להתקפות של יום אפס, כאשר הפגיעות הייתה ידועה אך לא תוקנה.
תשומת לב מיוחדת בדוח מוקדשת לביטול בעיות הקשורות לשימוש בסיסמאות סטנדרטיות, אימות שגוי וביצוע פקודות מערכת ההפעלה. CISA ממליצה בחום ליישם גישות "Secure by Design" לביטול פגיעויות כאלה בשלב התכנון.
בנוסף לדירוג, MITER הדגיש את הצורך לחשוב מחדש על השקעות ואסטרטגיות אבטחת סייבר. זה לא רק יפחית סיכונים, אלא גם יגדיל את חוסנן של מערכות IT מול איומים מורכבים יותר ויותר.
