MITRE公布2020年最危險的25個軟體錯誤
軟體錯誤可以是軟體解決方案的程式碼,結構,實現或設計中發現的缺陷和漏洞,漏洞和其他類型的錯誤,可能會使正在運行的系統受到攻擊 ,其中以跨站點腳本(XSS)排名第一, 因為除易於發現和利用之外,攻擊者還可以在成功利用後,完全控制易受攻擊的系統,竊取敏感數據或發動阻斷服務攻擊(DoS)。
為了建立2020年列表,CWE團隊利用了美國國家標準技術研究院(NIST)國家漏洞數據庫(NVD)內的常見漏洞和暴露(CVE®)數據以及常見漏洞評分系統(CVSS)得分與每個CVE相關聯。將公式應用於數據,對每個弱點進行評分。MITER解釋說: “ NVD以易於消化的格式提供資訊,有助於推動以數據驅動的方式建立2020 CWE Top25。”
完整的MITRE–Top 25列表如下:
| Rank | ID | Name | Score |
| [1] | CWE-79 | Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) | 46.82 |
| [2] | CWE-787 | Out-of-bounds Write | 46.17 |
| [3] | CWE-20 | Improper Input Validation | 33.47 |
| [4] | CWE-125 | Out-of-bounds Read | 26.50 |
| [5] | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer | 23.73 |
| [6] | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) | 20.69 |
| [7] | CWE-200 | Exposure of Sensitive Information to an Unauthorized Actor | 19.16 |
| [8] | CWE-416 | Use After Free | 18.87 |
| [9] | CWE-352 | Cross-Site Request Forgery (CSRF) | 17.29 |
| [10] | CWE-78 | Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) | 16.44 |
| [11] | CWE-190 | Integer Overflow or Wraparound | 15.81 |
| [12] | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) | 13.67 |
| [13] | CWE-476 | NULL Pointer Dereference | 8.35 |
| [14] | CWE-287 | Improper Authentication | 8.17 |
| [15] | CWE-434 | Unrestricted Upload of File with Dangerous Type | 7.38 |
| [16] | CWE-732 | Incorrect Permission Assignment for Critical Resource | 6.95 |
| [17] | CWE-94 | Improper Control of Generation of Code (‘Code Injection’) | 6.53 |
| [18] | CWE-522 | Insufficiently Protected Credentials | 5.49 |
| [19] | CWE-611 | Improper Restriction of XML External Entity Reference | 5.33 |
| [20] | CWE-798 | Use of Hard-coded Credentials | 5.19 |
| [21] | CWE-502 | Deserialization of Untrusted Data | 4.93 |
| [22] | CWE-269 | Improper Privilege Management | 4.87 |
| [23] | CWE-400 | Uncontrolled Resource Consumption | 4.14 |
| [24] | CWE-306 | Missing Authentication for Critical Function | 3.85 |
| [25] | CWE-862 | Missing Authorization | 3.77 |
另外,自2016年以來使用最多的10個漏洞
三個月前的5月12日,美國網路安全和基礎架構安全局(CISA)和聯邦調查局(FBI)還發布了2016年至2019年間最常被利用的十大安全漏洞列表。
根據兩家政府機構–美國網路安全和基礎架構安全局(CISA)和聯邦調查局(FBI)自2016年以來對網路攻擊的分析,惡意行為者最經常利用Microsoft的對象鏈接和嵌入(OLE)技術中的漏洞,其中Apache Struts網路框架是利用率第二高的技術。
CISA說: “在前10名中,來自中國,伊朗,朝鮮和俄羅斯的國家贊助的網路參與者中最常使用的三個漏洞是CVE-2017-11882,CVE-2017-0199和CVE-2012-0158,”。“所有這三個漏洞都與Microsoft的OLE技術有關。”
例如,從2018年12月開始,中國駭客客就頻繁利用CVE-2012-0158,這表明目標組織未針對此漏洞修補其系統,並且威脅參與者只要發現沒有修復就繼續嘗試濫用此安全漏洞。 。
CISA還表示,到2020年,由於COVID-19大流行突然轉移到遠端工作。攻擊者一直在專注於利用像Office 365這樣的雲端協同服務的快速部署,以及利用未修補的Pulse Secure VPN漏洞(CVE-2019-11510)和Citrix VPN(CVE-2019-19781)。
自2016年以來使用最廣泛的十大安全漏洞的完整列表列:
| CVE | Associated Malware |
| CVE-2017-11882 | Loki, FormBook, Pony/FAREIT |
| CVE-2017-0199 | FINSPY, LATENTBOT, Dridex |
| CVE-2017-5638 | JexBoss |
| CVE-2012-0158 | Dridex |
| CVE-2019-0604 | China Chopper |
| CVE-2017-0143 | Multiple using the EternalSynergy and EternalBlue Exploit Kit |
| CVE-2018-4878 | DOGCALL |
| CVE-2017-8759 | FINSPY, FinFisher, WingBird |
| CVE-2015-1641 | Toshliph, Uwarrior |
| CVE-2018-7600 | Kitty |
Source: https://cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html