Bugs

MITREは、2023年6月から2024年6月までに公開された31,000件以上の脆弱性の背後にある、最も一般的で危険なソフトウェアの弱点の今年のトップ25リストを共有した。

ソフトウェアの弱点とは、ソフトウェアのコード、アーキテクチャ、実装、設計に見られる欠陥、バグ、脆弱性、エラーを指す。

攻撃者はこれらを悪用して、脆弱なソフトウェアが稼働しているシステムに侵入し、影響を受けたデバイスを制御して機密データにアクセスしたり、サービス拒否攻撃を仕掛けたりすることができる。

「MITREは本日、「多くの場合、脆弱性は容易に発見され、悪用される可能性があり、その結果、攻撃者はシステムを完全に乗っ取ったり、データを盗んだり、アプリケーションを動作不能にしたりすることができます。

「これらの脆弱性の根本原因を明らかにすることは、これらの脆弱性の発生を未然に防ぐための投資、政策、実践の強力な指針となり、産業界と政府の利害関係者の双方に利益をもたらします。

今年のランキングを作成するために、MITREは、CISAのKnown Exploited Vulnerabilities (KEV)カタログに追加されたセキュリティ上の欠陥に焦点を当て、「再マッピング分析が有益であろう」脆弱性について31,770件のCVEレコードを分析し、2023年と2024年にわたって報告した後、その重大性と頻度に基づいて各脆弱性を採点しました。

「この年次リストは、敵対者が頻繁に悪用してシステムを侵害し、機密データを盗み、重要なサービスを妨害する、最も重大なソフトウェアの弱点を特定するものである

「組織はこのリストを確認し、自社のソフトウェア・セキュリティ戦略に役立てることが強く推奨される。開発および調達プロセスにおいて、これらの弱点に優先順位をつけることは、ソフトウェア・ライフサイクルの中核における脆弱性の防止に役立ちます。

順位 ID 名前 スコア KEV CVEs 変化
1 CWE-79 クロスサイトスクリプティング 56.92 3 +1
2 CWE-787 アウトオブバウンズ書き込み 45.20 18 -1
3 CWE-89 SQLインジェクション 35.88 4 0
4 CWE-352 クロスサイトリクエストフォージェリ(CSRF) 19.57 0 +5
5 CWE-22 パス・トラバーサル 12.74 4 +3
6 CWE-125 アウトオブバウンズリード 11.42 3 +1
7 CWE-78 OSコマンドインジェクション 11.30 5 -2
8 CWE-416 フリー後の使用 10.19 5 -4
9 CWE-862 認証の欠落 10.11 0 +2
10 CWE-434 危険なタイプのファイルの無制限アップロード 10.03 0 0
11 CWE-94 コード・インジェクション 7.13 7 +12
12 CWE-20 不適切な入力検証 6.78 1 -6
13 CWE-77 コマンド・インジェクション 6.74 4 +3
14 CWE-287 不適切な認証 5.94 4 -1
15 CWE-269 不適切な特権管理 5.22 0 +7
16 CWE-502 信頼できないデータのデシリアライズ 5.07 5 -1
17 CWE-200 権限のない行為者への機密情報の暴露 5.07 0 +13
18 CWE-863 不正な認証 4.05 2 +6
19 CWE-918 サーバーサイドリクエストフォージェリ (SSRF) 4.05 2 0
20 CWE-119 メモリバッファ境界における不適切な操作制限 3.69 2 -3
21 CWE-476 NULL ポインタ参照 3.58 0 -9
22 CWE-798 ハードコードされた認証情報の使用 3.46 2 -4
23 CWE-190 整数のオーバーフローまたは折り返し 3.37 3 -9
24 CWE-400 リソース消費量 3.23 0 +13
25 CWE-306 クリティカルファンクションの認証漏れ 2.73 5 -5

CISA はまた、広く知られ、文書化されている脆弱性のうち、利用可能で効果的な緩和策があるにもかかわらず、いまだにソフトウェアから排除されていない脆弱性の蔓延に焦点を当てた「セキュア・バイ・デザイン(Secure by Design)」アラートも定期的に発表している。

7月のアラートでは、CiscoPalo AltoIvantiのネットワーク・エッジ・デバイスを標的とした最近の攻撃で、中国のVelvet Ant stateのハッカーが悪用したパスOSコマンド・インジェクションの脆弱性を排除するようベンダーに求めている。

サイバーセキュリティ機関は5月と3月にも「セキュア・バイ・デザイン(Secure by Design)」アラートを2回発表し、ハイテク企業の幹部やソフトウェア開発者に対し、自社の製品やコードに含まれるパス・トラバーサルや SQLインジェクション(SQLi)の脆弱性を防ぐよう促している。

CISAはまた、技術ベンダーに対し、デフォルトのパスワードが設定されたソフトウェアやデバイスの出荷を停止するよう、また小規模オフィス/ホームオフィス(SOHO)用ルーターメーカーに対し、ボルト・タイフーン攻撃に対する安全性を確保するよう求めた。

先週、FBI、NSA、ファイブ・アイズのサイバーセキュリティ当局は、昨年日常的に悪用されたセキュリティ脆弱性トップ15のリストを発表し、攻撃者はゼロデイ(公表されているが、まだパッチが適用されていないセキュリティ上の欠陥)を標的にすることに重点を置いていると警告した。

「2023年、最も頻繁に悪用される脆弱性の大半は、ゼロデイとして最初に悪用されたものであり、ゼロデイとして悪用された脆弱性が上位の半分以下であった2022年よりも増加している」と彼らは注意を促している。