MITRE, 가장 위험한 소프트웨어 취약점 25가지 공개
MITRE는 심각성과 보편성을 기준으로 각 취약점을 엄격하게 평가하고 점수를 매긴 후 지난 2년간 업계를 괴롭힌 가장 위험한 소프트웨어 취약점 상위 25개 목록을 발표했습니다. 결함, 버그, 취약성 및 오류를 포함하는 이러한 취약점은 소프트웨어 시스템의 보안에 중대한 위험을 초래합니다.
MITRE에 따르면, 소프트웨어가 지정된 메모리 영역 외부에 데이터를 쓸 때 발생하는 아웃오브바운드는 목록에서 가장 중요한 문제입니다. 이를 통해 공격자는 피해자의 PC에서 유해한 애플리케이션을 실행할 수 있습니다. 다른 중요한 문제로는 크로스 사이트 스크립팅(XSS), SQL 인젝션, 무료 이후 사용 등이 있습니다.
취약점은 시간순으로 아웃오브바운드 쓰기(CWE-787), 크로스사이트 스크립팅(CWE-79), SQL 인젝션(CWE-89), 해제 후 사용(CWE-416), OS 명령 인젝션(CWE-78), 부적절한 입력 유효성 검사(CWE-20), 아웃오브바운드 읽기(CWE-125) 등입니다, 경로 트래버스(CWE-22), 사이트 간 요청 위조(CSRF), 위험한 유형의 파일 무제한 업로드(CWE-434), 권한 부여 누락(CWE-862), NULL 포인터 역참조(CWE-476), 부적절한 인증(CWE-287).
그 외에도 정수 오버플로 또는 래퍼라운드(CWE-190), 신뢰할 수 없는 데이터의 역직렬화(CWE-502), 명령에 사용된 특수 요소의 부적절한 무력화(CWE-77), 메모리 버퍼 범위 내 작업의 부적절한 제한(CWE-119), 하드코딩된 자격 증명 사용(CWE-798), 서버 측 요청 위조(SSRF) 등이 있습니다, 중요 기능에 대한 인증 누락(CWE-306), 부적절한 동기화가 있는 공유 리소스를 사용한 동시 실행(CWE-362), 부적절한 권한 관리(CWE-269), 부적절한 코드 생성 제어(CWE-94), 잘못된 권한 부여(CWE-863), 잘못된 기본 권한(CWE-276).
이 조사는 미국 국립표준기술연구소(NIST)에서 관리하며 2021년과 2022년에 발견 및 보고된 취약점에 대한 정보를 포함하는 국가 취약점 데이터베이스(NVD)의 43,996개 항목에 대한 철저한 평가를 포함했습니다. 또한 MITRE는 CISA의 알려진 익스플로잇 취약점(KEV) 카탈로그의 일반 취약점 및 노출(CVE) 항목도 조사했습니다.
MITRE는 취약점의 근본 원인으로 특정 공통 취약점 열거(CWE)가 발생하는 빈도와 CVSS 점수로 결정된 취약점이 악용될 때의 평균 심각도를 조사했다고 밝혔습니다. MITRE는 데이터 세트의 최저값과 최고값을 기준으로 빈도와 심각도 수치를 정규화하여 발견된 결함의 객관적인 순위 순서를 만들 수 있었다고 밝혔습니다.
이러한 취약점의 영향으로는 영향을 받는 소프트웨어가 설치되어 실행 중인 시스템의 안전이 위협받고, 악의적인 공격자가 디바이스를 무단으로 제어하거나 민감한 데이터에 액세스하거나 파괴적인 서비스 거부 사고를 유발하기 위한 진입점으로 악용될 수 있습니다.
이 글의 출처는 BleepingComputer의 기사입니다.