2021年25大軟件缺陷(CWE) 內存異常問題排第一

基于對通用漏洞與暴露（CVE）數據和每個CVE所關聯嚴重性評分的分析，MITRE國土安全系統工程與開發研究所將內存異常問題排到其最新版25大危險軟件缺陷列表榜首位置。

過去兩年來，MITRE通用缺陷列表（CWE）團隊在美國國家漏洞數據庫（NVD）中找出了總共3033個與“越界”（內存異常問題）相關的安全漏洞。這些漏洞的嚴重性平均分值為8.22（總分10分），表明其中大多數都是嚴重漏洞或關鍵漏洞。此外，越界寫入錯誤可搞崩系統，實現代碼執行，造成數據崩潰。

跨站腳本錯誤（網頁生成過程中輸入的不恰當中和）在去年的列表中位居榜首，在7月22日發布的MITRE 2021 CWE Top 25最危險軟件缺陷列表中處于第二位。攻擊者可利用跨站腳本問題盜取會話和cookie信息、向網站發送惡意請求、利用瀏覽器漏洞，以及執行其他惡意操作。就原始數據而言，NVD中跨站腳本相關漏洞數量（3564）其實比排第一位的內存異常缺陷相關漏洞還多。但因為平均嚴重性評分（5.80）較低，此類漏洞綜合排位低于內存異常缺陷。

除了這兩大漏洞，MITRE Top 25列表前五大最普遍、最嚴重的軟件漏洞還包括越界讀取錯誤（使攻擊者能夠從不同內存位置讀取敏感數據）；不恰當的輸入驗證錯誤（可致軟件崩潰或消耗過多資源）；操作系統命令注入（使攻擊者能夠在操作系統上執行惡意代碼）。

MITRE Top 25列表旨在為軟件開發人員、用戶和測試人員提示某些可造成漏洞利用的最危險、最普遍的軟件缺陷。

MITRE最新版CWE列表中的軟件安全缺陷排名強調軟件中更基礎或更具體的缺陷，而不是此前主導此類列表的更高層次的所謂類級缺陷。例如，操作系統命令注入、關鍵函數身份驗證缺失、不可信數據反序列化和默認權限不正確等軟件缺陷，在新版Top 25列表中的排名就有所上升。操作系統命令注入在今年的列表中排第五位，而在去年的列表僅列第十。身份驗證缺失問題在今年的列表中則上升了13位，來到第11位；反序列化錯誤爬升八位，來到第13位；默認權限不正確問題飆升22位，排第19位。

總而言之，基礎級別CWE的數量從占去年Top 25列表CWE總數的60%，增長到了今年列表CWE總數的71%。

SANS技術學院研究院長Johannes Ullrich稱，MITRE列表中的軟件缺陷反映出了企業邁向基于應用編程接口（API）的分布式云應用過程中所出現的一些問題。

分布式應用環境大趨勢

事實上，上升最迅猛的三個漏洞，就與大型單一應用被通過不同API結合在一起的微服務所替代的環境直接相關。

比如，與“關鍵函數身份驗證缺失”相關的漏洞，出現在防護不佳的內部函數經由API暴露出來以支持去中心化應用的時候。與之類似，“默認權限不正確”問題主要影響開放S3存儲桶、Azure Blob存儲和開放No-SQL數據庫，這些都是分布式應用中用到的組件。不安全反序列化漏洞則出現在分布式應用采用對象通信而對象以不安全的方式反序列化的情況下。

Ullrich稱：“軟件開發的速度常常會扯安全后腿。” 

雖然可以采用應用網關和認證服務等工具保護分布式應用環境，但開發人員往往不了解或不使用這些技術。 

在開發人員完全了解這些新技術并親身實驗之前，應用就被開發出來了。

著名軟件安全專家Gary McGraw稱，雖然MITRE通用缺陷列表這種東西很有用，但軟件開發團隊最好關注自身環境中的特定問題。

“投入軟件安全和應用安全25年之久，卻仍然需要Top 25列表來感知漏洞在哪兒，這可真令人沮喪。”

McGraw認為，廣義列表的最大問題是，這種列表提供不了多少針對特定開發環境中各種情況的洞見。單純依賴此類列表做出自身開發環境安全狀況假設的公司最終有可能得出錯誤的結論。例如，盡管SQL注入錯誤常躋身最常見漏洞之列，此類缺陷卻不會出現在壓根兒沒有數據庫的環境中。所以，僅僅因為這些缺陷出現在OWASP Top 10列表里就死盯不放是毫無意義的。

更好的做法是使用自動化工具識別特定于自身環境的漏洞。最重要的是，企業要有自己的缺陷和漏洞Top10或Top25列表。