MITREの最新レポートによると、クロスサイトスクリプティングが過去1年間で最も重大なソフトウェア欠陥として特定されました。
この非営利団体の最新の最も危険なソフトウェア弱点トップ25ランキングは11月20日に公開されました。これは、2023年6月から2024年6月の間に共通弱点タイプ一覧(CWE)カタログに掲載された最も重大な欠陥を対象としています。
CWE:脆弱性の根本原因
CWEは、コード、設計、またはアーキテクチャにおける一般的なソフトウェアの弱点や欠陥の一覧で、脆弱性につながる可能性があります。脆弱性自体は、共通脆弱性識別子(CVE)データベースに掲載されています。
CWEはこれらの脆弱性の根本原因であり、「そもそもこれらの脆弱性が発生するのを防ぐための投資、方針、実践のための強力な指針となる」と、MITREはランキングに添えたブログ投稿で述べています。
「多くの場合、発見や悪用が容易であり、攻撃者がシステムを完全に乗っ取ったり、データを盗んだり、アプリケーションを動作不能にしたりできる悪用可能な脆弱性につながり得ます。」
ソフトウェア弱点の重大度レベルを定義するため、MITREは2023年および2024年に報告された31,770件のCVEを分析し、「再マッピング分析の恩恵を受ける」脆弱性を対象としました。
その後MITREは、深刻度と実環境での悪用頻度に基づいて各弱点にスコアを付与しました。特に、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)の既知の悪用済み脆弱性(KEV)カタログに追加されたセキュリティ欠陥に重点を置きました。
2024年の最も危険なCWE
今年は、「Webページ生成時の入力の不適切な無害化」(CWE-79)としても知られるクロスサイトスクリプティングが、スコア56.92で1位となり、関連する既知の悪用済み脆弱性が3件ありました。
これは、昨年最も危険なCWEだった「境界外書き込み」(CWE-787)に代わるもので、同項目は関連する既知の悪用済み脆弱性が18件あるものの、スコア45.20で2位となりました。
「SQLコマンドで使用される特殊要素の不適切な無害化」(CWE-89)としても知られるSQLインジェクションは、スコア35.88、関連する既知の悪用済み脆弱性4件で、3位を維持しました。
ソフトウェア投資の意思決定のための戦略的ガイド
MITREは、このランキングが開発者やセキュリティ専門家にとって有用なリソースであるだけでなく、ソフトウェア、セキュリティ、リスク管理への投資において情報に基づく意思決定を行おうとする組織にとっての戦略的ガイドにもなると述べました。
「組織には、このリストを確認し、ソフトウェアセキュリティ戦略の策定に活用することを強く推奨します。開発および調達プロセスにおいてこれらの弱点を優先することで、ソフトウェアライフサイクルの中核にある脆弱性の予防に役立ちます」と同団体は付け加えました。
この非営利団体は、CVEおよびCWEプログラムを運営するためにCISAと緊密に連携しています。
CISAもまた、効果的な緩和策が利用可能であるにもかかわらず、十分に文書化され広く認識されている脆弱性がソフトウェアに根強く存在し続けていることを強調するため、「Secure by Design(設計段階からのセキュリティ)」アラートを頻繁に発出しています。
翻訳元: https://www.infosecurity-magazine.com/news/mitre-unveils-top-25-software-flaws/
