2023年最具威胁的25种安全漏洞(CWE TOP 25)

ITtiku 阅读 921

本文分享自华为云社区《2023年最具威胁的25种安全漏洞(CWETOP25)-云社区-华为云》,作者:Uncle_Tom。

CWETop25是通过分析美国国家漏洞数据库(NVD)中的公共漏洞数据来计算的,以获取前两个日历年CWE弱点的根本原因映射。这些弱点会导致软件中的严重漏洞。攻击者通常可以利用这些漏洞来控制受影响的系统、窃取数据或阻止应用程序运行。对此类漏洞数据进行趋势分析使组织能够在漏洞管理方面做出更好的投资和政策决策。许多处理软件的专业人士会发现CWETop25帮助降低风险的方便且实用资源。

1.发布

最近几年,每年6月CWE发布的版本都成为一年中最重要的版本,因为里面包含了新的CWETOP25视图,也就是我们常说的:CWE最具威胁的25种缺陷。

在6月29号发布,里面包含了重要的2023年TOP25视图:CWE-1425。同时这次的TOP25还包括从美国网络安全和基础设施安全局(CybersecurityandInfrastructureSecurityAgency’s(CISA))已知被利用漏洞(KnownExploitedVulnerabilities(KEV))目录中观察到的示例,以显示与现实世界漏洞的相关性。

另一个重要的变动是在所有CWE条目中添加了一个新的节点-漏洞映射说明(Mapping_Notes)。这些说明将使用户能够更准确地将漏洞(例如CVE)映射到其根本原因弱点。以前,映射注释仅在“注释”部分中可用于少数CWE条目。为此新版本的CWE,将原有的xml的schema从6.9升级到7.0,用于完善这个节点的定义。

2.CWE新的节点–漏洞映射说明(Mapping_Notes)

我们从cwe_schema_中可以看到,新增加的节点"Mapping_Notes"的定义类型为:“cwe:MappingNotesType”。

xs:elementname="Mapping_Notes"type="cwe:MappingNotesType"minOccurs="0"maxOccurs="1"/

再看"MappingNotesType"的具体定义为:

xs:complexTypename="MappingNotesType"xs:annotationxs:documentationTheMappingNotesTypecomplextypeprovidesguidanceforwhen(andwhether)ghtbemoreappropriateforthemappingtask./xs:documentation/xs:annotationxs:sequencexs:elementname="Usage"type="cwe:UsageEnumeration"minOccurs="1"maxOccurs="1"/xs:elementname="Rationale"type="cwe:StructuredTextType"minOccurs="1"maxOccurs="1"/xs:elementname="Comments"type="cwe:StructuredTextType"minOccurs="1"maxOccurs="1"/xs:elementname="Reasons"type="cwe:ReasonsType"minOccurs="1"maxOccurs="1"/xs:elementname="Suggestions"type="cwe:SuggestionsType"minOccurs="0"maxOccurs="1"//xs:sequence/xs:complexType

从这个定义可以看出在"Mapping_Notes"节点下,还有5个子节点,其中"Usage",“Rationale”,“Comments”,"Reasons"是强制必须有的节点,"Suggestions"为可选节点。

这个节点信息的增加,将为我们在CWE与缺陷映射时,提供极大的帮助,以提高映射的准确性。

CWE的工作者们已经意识到CWE与缺陷的映射时出现的重叠或CWE之间存在模糊的交集,会给缺陷分类带来很多的困惑,最最近的几个版本中,正试图通过增加节点以及映射说明,逐步的修正这个问题。特别是中添加了新的软件保障趋势视图综合分类:CWE-1400,将所有弱点分组(如“内存安全”),以便于分析软件保障中的趋势和优先级。

3.CWE2023TOP25

CWETop25是通过分析美国国家标准与技术研究院(NationalInstituteofStandardsandTechnology(NIST))美国国家漏洞数据库((NVD))中的公共漏洞数据来计算的,以获取前两个日历年CWE弱点的根本原因映射。这些弱点会导致软件中的严重漏洞。攻击者通常可以利用这些漏洞来控制受影响的系统、窃取数据或阻止应用程序运行。

2023年CWETOP25包含最近常见漏洞和披露(CommonVulnerabilitiesandExposures(CVE))记录的更新弱点数据,这些数据是网络安全和基础设施安全局(CybersecurityandInfrastructureSecurityAgency’s(CISA))已知被利用漏洞(KnownExploitedVulnerabilities(KEV))目录的一部分。

CWE通过分析2021到2022年报告的43,996个CVE漏洞,得到了2023最具威胁的25种漏洞。

对此类漏洞数据进行趋势分析使组织能够在漏洞管理方面做出更好的投资和政策决策。许多处理软件的专业人士会发现CWETop25是帮助降低风险的实用且方便的资源。

2023CWETOP25排行

3.1.缺陷变动情况

名单中上升最快的是:CWE-416:释放后使用,从3;CWE-862:授权机制缺失,从11;CWE-269:特权管理不恰当,从22;CWE-863:授权机制不正确,从24。

名单中跌幅最大的是:CWE-502:不可信数据的反序列化,15;CWE-798:使用硬编码的凭证,从18;CWE-276:缺省权限不正确,从25。

前25名中的新进缺陷是:CWE-269:特权管理不恰当,从22;CWE-863:授权机制不正确,从24。

跌出前25名的缺陷是:CWE-400:未加控制的资源消耗(资源耗尽),从37;CWE-611:XML外部实体引用的不恰当限制(XXE),从28。

华为云博客_大数据博客_AI博客_云计算博客_开发者中心-华为云

版权声明:本站所有作品(图文、音视频)均由用户自行上传分享,仅供网友学习交流,不声明或保证其内容的正确性,如发现本站有涉嫌抄袭侵权/违法违规的内容。请举报,一经查实,本站将立刻删除。

相关推荐