MITRE は本日、過去 2 年間にソフトウェアを悩ませた最も危険な弱点トップ 25 の今年のリストを共有しました。
ソフトウェアの弱点には、ソフトウェア ソリューションのコード、アーキテクチャ、実装、設計における欠陥、バグ、脆弱性、エラーなど、幅広い問題が含まれます。
弱点があると、ソフトウェアがインストールされ実行されているシステムのセキュリティが危険にさらされる可能性があります。これらは、影響を受けるデバイスの制御を取得したり、機密データにアクセスしたり、サービス拒否状態を引き起こしたりしようとする悪意のある攻撃者にエントリ ポイントを提供する可能性があります。
「これらの弱点は、ソフトウェアの深刻な脆弱性につながる。攻撃者はこれらの脆弱性を悪用して、影響を受けるシステムを制御したり、データを盗んだり、アプリケーションの動作を妨げたりする可能性がある」とCISAは本日警告した。
このリストを作成するために、MITRE は、2021 年から 2022 年にかけて発見および報告された脆弱性について NIST の National Vulnerability Database (NVD) から 43,996 件の CVE エントリを分析した後、重大度と有病率に基づいて各弱点をスコアリングし、CISA の既知の悪用された脆弱性に追加された CVE 記録に焦点を当てました。 (KEV)のカタログです。
「収集、スコープ設定、および再マッピングのプロセスの後、スコア計算式を使用して、頻度 (CWE が脆弱性の根本原因である回数) と各脆弱性の平均重大度を組み合わせた弱点の順位が計算されました。 (CVSS スコアによって測定される) 脆弱性が悪用された場合の影響を軽減する」と MITRE は述べています。
「どちらの場合も、頻度と重大度はデータセット内で観察された最小値と最大値に対して正規化されています。」
MITRE の 2023 年のトップ 25 の弱点は、重大な影響を及ぼし、過去 2 年間にリリースされたソフトウェアに広く発生しているため、危険です。
悪用に成功すると、攻撃者が標的のシステムを完全に制御したり、機密データを収集して流出したり、サービス妨害 (DoS) を引き起こしたりする可能性があります。
このリストを共有することで、MITRE は、即時対応が必要な最も重大なソフトウェア セキュリティの弱点に関する貴重な情報をより広範なコミュニティに提供します。
| ランク | ID | 名前 | スコア | KEV の CVE | ランク変更 |
|---|---|---|---|---|---|
| 1 | CWE-787 | 範囲外の書き込み | 63.72 | 70 | 0 |
| 2 | CWE-79 | Web ページ生成中の入力の不適切な無効化 (「クロスサイト スクリプティング」) | 45.54 | 4 | 0 |
| 3 | CWE-89 | SQL コマンドで使用される特殊要素の不適切な無効化 (「SQL インジェクション」) | 34.27 | 6 | 0 |
| 4 | CWE-416 | 無料後の使用 | 16.71 | 44 | +3 |
| 5 | CWE-78 | OS コマンドで使用される特殊要素の不適切な無効化 (「OS コマンド インジェクション」) | 15.65 | 23 | +1 |
| 6 | CWE-20 | 不適切な入力検証 | 15.50 | 35 | -2 |
| 7 | CWE-125 | 範囲外の読み取り | 14.60 | 2 | -2 |
| 8 | CWE-22 | 制限されたディレクトリへのパス名の不適切な制限 (「パス トラバーサル」) | 14.11 | 16 | 0 |
| 9 | CWE-352 | クロスサイト リクエスト フォージェリ (CSRF) | 11.73 | 0 | 0 |
| 10 | CWE-434 | 危険な種類のファイルの無制限のアップロード | 10.41 | 5 | 0 |
| 11 | CWE-862 | 権限がありません | 6.90 | 0 | +5 |
| 12 | CWE-476 | NULL ポインタの逆参照 | 6.59 | 0 | -1 |
| 13 | CWE-287 | 不正な認証 | 6.39 | 10 | +1 |
| 14 | CWE-190 | 整数のオーバーフローまたはラップアラウンド | 5.89 | 4 | -1 |
| 15 | CWE-502 | 信頼できないデータの逆シリアル化 | 5.56 | 14 | -3 |
| 16 | CWE-77 | コマンドで使用される特殊要素の不適切な無効化 (「コマンド インジェクション」) | 4.95 | 4 | +1 |
| 17 | CWE-119 | メモリバッファの範囲内での操作の不適切な制限 | 4.75 | 7 | +2 |
| 18 | CWE-798 | ハードコードされた認証情報の使用 | 4.57 | 2 | -3 |
| 19 | CWE-918 | サーバーサイドリクエストフォージェリ(SSRF) | 4.56 | 16 | +2 |
| 20 | CWE-306 | 重要な機能の認証がありません | 3.78 | 8 | -2 |
| 21 | CWE-362 | 共有リソースを使用した不適切な同期による同時実行 (「競合状態」) | 3.53 | 8 | +1 |
| 22 | CWE-269 | 不適切な権限管理 | 3.31 | 5 | +7 |
| 23 | CWE-94 | コード生成の不適切な制御 (「コード インジェクション」) | 3.30 | 6 | +2 |
| 24 | CWE-863 | 不正な認証 | 3.16 | 0 | +4 |
| 25 | CWE-276 | 間違ったデフォルトの権限 | 3.16 | 0 | -5 |
ソフトウェアおよびハードウェアのバグに関する警告
世界中のサイバーセキュリティ当局が関与する共同の取り組みにより、2021 年を通じて攻撃で一般的に悪用された上位 15 件の脆弱性を包括的にまとめたものが 2022 年 4 月にリリースされました。この共同の取り組みには、NSA や FBI などの著名な組織が関与しました。
さらに、 2020 年に日常的に悪用されたバグの一覧表が、オーストラリア サイバー セキュリティ センター (ACSC) および英国の国家サイバー セキュリティ センター (NCSC) と協力して CISA と FBI によって公開されました。
CISA と FBI は、2016 年から 2019 年の間に最も頻繁に悪用されたセキュリティ上の欠陥トップ 10を特集したカタログも共有しました。
最後に、MITRE は、ハードウェア システムを悩ませている最も危険なプログラミング、設計、アーキテクチャのセキュリティ上の欠陥を概説したリストも提供しています。
「CISAは、開発者と製品セキュリティ対応チームに対し、CWEトップ25をレビューし、推奨される緩和策を評価して、採用に最も適した緩和策を決定することを奨励します」とCISAは本日付け加えた。
「今後数週間にわたり、CWE プログラムは、CWE トップ 25 の方法論、脆弱性マッピングの傾向、およびサイバーセキュリティ リスクのバランスを変える上で脆弱性管理がどのように重要な役割を果たすかを説明するのに役立つその他の有用な情報に関する一連の記事を公開する予定です。 」
Comments