MITRE는 2023년 6월부터 2024년 6월 사이에 공개된 31,000개 이상의 취약점 뒤에 있는 가장 일반적이고 위험한 소프트웨어 약점의 올해 상위 25개 목록을 공유했습니다.
소프트웨어 약점은 소프트웨어의 코드, 아키텍처, 구현 또는 설계에서 발견되는 결함, 버그, 취약성 및 오류를 나타냅니다.
공격자는 이를 악용하여 취약한 소프트웨어가 실행되는 시스템에 침입하여 영향을 받는 장치를 제어하고 민감한 데이터에 액세스하거나 서비스 거부 공격을 촉발할 수 있습니다.
MITRE는 “종종 쉽게 찾아 악용할 수 있는 이러한 취약점은 공격자가 시스템을 완전히 장악하거나, 데이터를 훔치거나, 애플리케이션의 작동을 방해할 수 있는 악용 가능한 취약점으로 이어질 수 있다”고 말했습니다.
“이러한 취약점의 근본 원인을 찾아내는 것은 이러한 취약점이 처음부터 발생하는 것을 방지하기 위한 투자, 정책 및 관행에 대한 강력한 지침이 되어 업계와 정부 이해관계자 모두에게 이익이 됩니다.”
올해 순위를 작성하기 위해 MITRE는 “리매핑 분석의 이점을 얻을 수 있는” 취약점에 대한 31,770개의 CVE 기록을 분석한 후 심각도와 빈도를 기준으로 각 약점의 점수를 매겼으며, CISA의 알려진 취약점에 추가된 보안 결함에 중점을 두고 2023년과 2024년에 걸쳐 보고했습니다. 악용된 취약점(KEV) 카탈로그.
CISA는 오늘 “이 연례 목록은 공격자가 시스템을 손상시키고 민감한 데이터를 훔치거나 필수 서비스를 방해하기 위해 자주 악용하는 가장 중요한 소프트웨어 약점을 식별합니다”라고 덧붙였습니다.
“조직에서는 이 목록을 검토하고 이를 사용하여 소프트웨어 보안 전략을 수립하는 것이 좋습니다. 개발 및 조달 프로세스에서 이러한 약점의 우선순위를 지정하면 소프트웨어 수명주기의 핵심에서 취약점을 방지하는 데 도움이 됩니다.”
| 계급 | ID | 이름 | 점수 | CVE | 변화 |
|---|---|---|---|---|---|
| 1 | CWE-79 | 크로스 사이트 스크립팅 | 56.92 | 3 | +1 |
| 2 | CWE-787 | 범위를 벗어난 쓰기 | 45.20 | 18 | -1 |
| 3 | CWE-89 | SQL 주입 | 35.88 | 4 | 0 |
| 4 | CWE-352 | 사이트 간 요청 위조(CSRF) | 19.57 | 0 | +5 |
| 5 | CWE-22 | 경로 순회 | 12.74 | 4 | +3 |
| 6 | CWE-125 | 범위를 벗어난 읽기 | 11.42 | 3 | +1 |
| 7 | CWE-78 | OS 명령 주입 | 11.30 | 5 | -2 |
| 8 | CWE-416 | 무료 이후 사용 | 10.19 | 5 | -4 |
| 9 | CWE-862 | 승인 누락 | 10.11 | 0 | +2 |
| 10 | CWE-434 | 위험한 유형의 파일을 무제한 업로드 | 10.03 | 0 | 0 |
| 11 | CWE-94 | 코드 주입 | 7.13 | 7 | +12 |
| 12 | CWE-20 | 부적절한 입력 검증 | 6.78 | 1 | -6 |
| 13 | CWE-77 | 명령 주입 | 6.74 | 4 | +3 |
| 14 | CWE-287 | 부적절한 인증 | 5.94 | 4 | -1 |
| 15 | CWE-269 | 부적절한 권한 관리 | 5.22 | 0 | +7 |
| 16 | CWE-502 | 신뢰할 수 없는 데이터의 역직렬화 | 5.07 | 5 | -1 |
| 17 | CWE-200 | 무단 행위자에게 민감한 정보 노출 | 5.07 | 0 | +13 |
| 18 | CWE-863 | 잘못된 승인 | 4.05 | 2 | +6 |
| 19 | CWE-918 | 서버 측 요청 위조(SSRF) | 4.05 | 2 | 0 |
| 20 | CWE-119 | 메모리 버퍼 경계의 부적절한 작업 제한 | 3.69 | 2 | -3 |
| 21 | CWE-476 | NULL 포인터 역참조 | 3.58 | 0 | -9 |
| 22 | CWE-798 | 하드 코딩된 자격 증명 사용 | 3.46 | 2 | -4 |
| 23 | CWE-190 | 정수 오버플로 또는 랩어라운드 | 3.37 | 3 | -9 |
| 24 | CWE-400 | 통제되지 않은 자원 소비 | 3.23 | 0 | +13 |
| 25 | CWE-306 | 중요한 기능에 대한 인증 누락 | 2.73 | 5 | -5 |
CISA는 또한 사용 가능하고 효과적인 완화 방법에도 불구하고 아직 소프트웨어에서 제거되지 않은 널리 알려지고 문서화된 취약점의 확산을 강조하는 “설계에 의한 보안” 경고를 정기적으로 발표합니다.
일부는 Cisco, Palo Alto 및 Ivanti 네트워크 에지 장치를 대상으로 한 최근 공격에서 중국 Velvet Ant 국가 해커가 악용한 경로 OS 명령 주입 취약점을 제거하도록 공급업체에 요청하는 7월 경고와 같은 지속적인 악성 활동에 대응하여 발행되었습니다.
지난 5월과 3월에 사이버 보안 기관은 기술 경영진과 소프트웨어 개발자에게 제품 및 코드에서 경로 탐색 및 SQL 주입(SQLi) 취약점을 방지하도록 촉구하는 “Secure by Design” 경고를 두 개 더 발표했습니다.
CISA는 또한 기술 공급업체에 기본 비밀번호가 포함된 소프트웨어 및 장치 배송을 중단하고 SOHO(소규모 사무실/홈 오피스) 라우터 제조업체에 Volt Typhoon 공격으로부터 보호할 것을 촉구했습니다.
지난주 FBI, NSA, 파이브아이즈(Five Eyes) 사이버보안 당국은 지난해 일상적으로 악용된 보안 취약점 상위 15개 목록을 공개해 공격자들이 제로데이(공개되었지만 아직 패치되지 않은 보안 결함)를 표적으로 삼는 데 주력하고 있다고 경고했다. ).
“2023년에는 가장 자주 악용된 취약점의 대부분이 처음에 제로데이로 악용되었으며, 이는 가장 많이 악용된 취약점 중 절반 미만이 제로데이로 악용되었던 2022년에 비해 증가한 것입니다.”라고 경고했습니다.
