요약 - 해마다 수많은 SW 문제가 발생하며, 일부는 공격자들이 악용
- MITRE는 매년 ‘가장 위험한 취약점 25개’ 공개
내용 - MITRE는 매년 ‘가장 위험한 취약점 25개’ 공개
> CWE 형식으로 문제를 열거
※ CVE : 실제 익스플로잇 공격의 통로가 될 수 있는 특정 취약점에 부여된 번호
※ CWE : 그러한 취약점을 유발시킬 수 있는, 보다 보편적이고 넓은 개념의 소프트웨어 보안 약점

1위
- CWE-79 (XSS 공격을 가능하게 하는 취약점들이 포함)
- CISA의 KEV에는 이 항목에 해당하는 CVE 3건 포함

2위
- CWE-787 (아웃 오브 바운드 라이트(out-of-bounds write)’ 취약점)
- KEV에는 18건의 CVE가 포함

3위
- CWE-89 (SQL 요소를 주입할 수 있게 해 주는 취약점)
- KEV에는 4건의 CVE가 포함

4위 
- CWE-352 (CSRF 공격을 가능하게 하는 취약점)
- KEV에는 CVE 존재하지 않음

5위
- CWE-22 (경로 탐색과 관련된 취약점)
- KEV에는 4건의 CVE가 포함

6위
- CWE-125 (아웃오브바운드 리드(out-of-bounds read) 취약점)
- KEV에는 3건의 CVE가 포함

7위
- CWE-78 (OS 명령을 주입할 수 있게 해 주는 취약점)
- KEV에는 5건의 CVE가 포함

8위
- CWE-416 (UaF(Use-after-Free) 취약점)
- KEV에는 5건의 CVE가 포함

9위
- CWE-862 (권한 인증을 누락시키는 취약점)
- KEV에는 CVE 존재하지 않음

10위
- CWE-434 (파일 업로드를 제한하지 못하거나 안 하는 취약점)
- KEV에는 CVE 존재하지 않음

11위
- CWE-94 (코드가 생성되는 걸 적절히 제어하지 못해서 생기는 문제들로 코드 주입 취약점)
- KEV에는 7건의 CVE가 포함

12위
- CWE-20 (사용자가 입력한 값의 적절성을 제대로 검증하지 않는 취약점) - KEV에는 1건의 CVE가 포함

13위
- CWE-77 (명령 주입 취약점)
- KEV에는 4건의 CVE가 포함

14위
- CWE-287 (인증을 부적절하게 처리하는 문제)
- KEV에는 4건의 CVE가 포함

15위
- CWE-269 (권한 관리와 관련된 문제)
- KEV에는 CVE 존재하지 않음

16위
- CWE-502 (데이터 역직렬화의 신뢰와 관련된 문제)
- KEV에는 5건의 CVE가 포함

17위
- CWE-200 (민감한 정보를 인증 과정 없이 노출시키는 취약점)
- KEV에는 CVE 존재하지 않음

18위
- CWE-863 (권한 인증을 부적절하게 처리하는 취약점)
- KEV에는 2건의 CVE가 포함

19위 
- CWE-918 (서버 측 요청 위조(SSRF) 공격을 가능하게 하는 취약점)
- KEV에는 2건의 CVE가 포함

20위
- CWE-119 (매모리 버퍼 바운드 내에서 작업 제한에 실패할 때 나타나는 취약점)
- KEV에는 2건의 CVE가 포함

21위
- CWE-476 (널 포인터 역참조 문제)
- KEV에는 CVE 존재하지 않음

22위
- CWE-798 (하드코딩 된 크리덴셜 문제들)
- KEV에는 2건의 CVE가 포함

23위
- CWE-190 (정수 오버플로우가 발생했을 때 나타나는 취약점)
- KEV에는 3건의 CVE가 포함

24위
- CWE-400 (자원 소비를 제대로 제어하지 못해서 발생하는 문제)
- KEV에는 CVE 존재하지 않음

25위
- CWE-306 (인증을 누락시키는 것과 관련된 문제)
- KEV에는 5건의 CVE가 포함
기타 -

 

보안뉴스

 

가장 위험한 소프트웨어 보안 문제는 무엇일까? 25개를 꼽았더니

소프트웨어는 우리의 삶을 여러 가지 면에서 편리하게 해 주기도 하지만 반대로 생각하지도 못한 방법으로 우리를 위험하게 만들기도 한다. 이 때문에 많은 국가, 산업, 기업들에서 소프트웨어

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

중국산 IT기기 해킹사고에 따른 4가지 대응방안  (2) 2024.12.15
DDoS 기능 탑재한 위성 수신기 제조·판매한 국내 기업 대표와 직원 체포돼  (1) 2024.12.03
방화벽 취약점 악용 공격 비상! 해킹포럼에 100여개 기업의 방화벽 호스팅 서버 접근권한 판매 글 올라와  (0) 2024.11.26
[주의] 포티넷 VPN 심각한 결함 발견돼…공격자, 브루트포스 공격 성공해도 들키지 않아 외 2건  (0) 2024.11.25
[단독] 한국지능정보사회진흥원, 관리자계정 유출로 외교부·행안부 등 소스코드 파일 털렸다! 현재 조사중  (3) 2024.11.11

1. CVE (Common Vulnerabilities and Exposures)

- 공개적으로 알려진 보안취약점에 대한 시간별로 정리한 목록(History)
- 표준화된 CVE 항목은 서비스 적용 범위를 평가할 수 있는 기준을 제공

- 표기 : CVE-연도-순서

 

CVE - CVE

The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.

cve.mitre.org

 

2. CWE (Common Weakness Enumeration)

- MITRE에서 일반적인 소프트웨어 보안약점(weakness)를 다양한 관점에서 분류한 목록.

-  악용 가능한 보안으로 이어질 수 있는 아키텍처, 디자인, 코드 또는 구현에서 발생할 수 있는 일반적인 소프트웨어 및 하드웨어 약점의 공식 목록 또는 사전

- 표기 : CWE-YYY

MITRE는 CVE®(Common Vulnerabilities and Exposures) 목록 을 출시한 1999년 초부터 소프트웨어 약점을 분류하는 문제에 대한 작업을 시작했습니다.
CVE 구축의 일환으로 MITRE의 CVE 팀은 일반적인 소프트웨어 약점을 정의하는 데 도움이 되도록 2005년부터 취약성, 공격, 결함 및 기타 개념의 예비 분류 및 분류를 개발했습니다.
그러나 CVE에는 충분하지만 코드 보안 평가 업계에서 제공하는 기능을 식별하고 분류하는 데 사용하기에는 이러한 그룹화가 너무 대략적이었습니다.
CWE 목록 은 2006년에 추가 요구 사항을 더 잘 해결하기 위해 만들어졌습니다.
 

CWE - Common Weakness Enumeration

CWE™ is a community-developed list of software and hardware weakness types. It serves as a common language, a measuring stick for security tools, and as a baseline for weakness identification, mitigation, and prevention efforts. Viewing Customized CWE in

cwe.mitre.org

 

※ 취약점 (vulnerabilities) vs 보안약점 (weakness)

① 취약점 (vulnerabilities)

- 해커가 시스템이나 네트워크에 접근하기 위해 사용할 수 있는 소프트웨어의 실수(mistake)로 실제 발생 가능

- 운영 단계에서 발생

 

② 보안약점 (weakness)

- 기능 설계 및 구현 단계에서 발생할 수 있는 보안상의 오류

- 개발단계에서 발생 (이론상)

 

3. CVSS(Common Vulnerabilities Scoring System)

- 보안 취약점들을 평가하고 확인할 수 있도록 제공된 오픈 프레임워크

- 취약점의 가장 중요한 특성을 이해하고, 그것에 수치로 된 점수를 부여함으로써 심각성을 표기

 

Common Vulnerability Scoring System SIG

Common Vulnerability Scoring System SIG Mission The Common Vulnerability Scoring System (CVSS) provides a way to capture the principal characteristics of a vulnerability and produce a numerical score reflecting its severity. The numerical score can then be

www.first.org

'기타 > 기타' 카테고리의 다른 글

MITRE ATT&CK Framework  (0) 2023.01.17

+ Recent posts

티스토리툴바