CISA发布2022年25个最危险的软件弱点

CWE-362（使用不正确同步的共享资源并发执行（'竞争条件'））：从 #33 到 #22

CWE-94（代码生成控制不当（'代码注入'））：从 #28 到 #25

CWE-400（不受控制的资源消耗）：从 #27 到 #23

CWE-77（命令中使用的特殊元素的不正确中和（“命令注入”））：从 #25 到 #17

CWE-476（空指针取消引用）：从 #15 到 #11

最大的下行趋势是：

CWE-306（缺少关键功能的身份验证）：从 #11 到 #18

CWE-200（敏感信息暴露给未经授权）：从 #20 到 #33

CWE-522（凭据保护不足）：从 #21 到 #38

CWE-732（关键资源的权限分配不正确）：从 #22 到 #30

前 25 名中的新条目是：

CWE-362（使用不正确同步的共享资源并发执行（'竞争条件'））：从 #33 到 #22

CWE-94（代码生成控制不当（'代码注入'））：从 #28 到 #25

CWE-400（不受控制的资源消耗）：从 #27 到 #23

跌出前 25 名的参赛作品是：

CWE-200（将敏感信息暴露给未经授权的演员）：从 #20 到 #33

CWE-522（凭据保护不足）：从 #21 到 #38

CWE-732（关键资源的权限分配不正确）：从 #22 到 #30

以下是 2021 年和 2022 年前 25 名榜单差异的直观表示。

与过去几年一样，前 25 名继续向更具体的基础级别弱点过渡。虽然独特的类级弱点数量缓慢下降（从 2020 年的 9 个下降到 2022 年的 7 个），但用于生成列表的所有映射的百分比已从 2020 年的 30% 下降到今年的 16% . 复合和变体弱点的其他级。

虽然列表中仍然存在 7 个类级别的弱点，但它们在排名中明显下降，受重新映射任务中优先级的影响（请参阅重新映射任务）。随着社区改进其映射到更精确的弱点，预计这一运动将在未来几年继续。

今年的分析创造了职业和基础水平的混合弱点，在前 25 名中上下移动。这是意料之中的，因为其中一些职业通常以易于识别的关键字而闻名，例如“竞争条件”、“命令” CWE 计划的目标仍然是通过前 25 名中的基础级弱点类型迭代地提供更多特异性。可以观察到，每年都更接近该目标。该计划的目标是，这一趋势将使试图更好地理解和解决威胁当今系统的问题的用户受益，因为与更高级别的弱点相比，基本级别的弱点更具信息性并且有利于实际缓解。

2022 CWE Top 25 是通过从 NVD 获取和分析公共漏洞数据而开发的。对于 2022 年清单，数据使用了已知被利用漏洞 (KEV) 目录，该目录根据 CISA 于 2021 年 11 月颁布的“具有约束力的操作指令 22-01-降低已知被利用漏洞的重大风险”建立。KEV是权威的已知已在野外被利用的漏洞的来源。

在数据收集和重新映射过程之后，使用评分公式来计算弱点的排名顺序，该顺序将 CWE 是漏洞的根本原因的频率与通过 CVSS 衡量的每个漏洞利用的平均严重性相结合。在这两种情况下，频率和严重性都相对于看到的最小值和最大值进行了标准化。在下一节中，这些指标分别表示为“NVD 计数”和“平均 CVSS”。

有关 2022 年 Top 25 榜单计算的更具体和详细信息，请参阅详细方法。

具有评分指标的 CWE 前 25 名

因为所有弱点在适当的条件下都可能成为可利用的漏洞：

2022年重映射任务的重大变化

Top 25 团队对 2022 年的重映射任务进行了几项重大更改：

将来自 NVD 的 CVMAP 数据集成到映射分析中。NVD 的 CVMAP 计划允许 CVE 编号机构 (CNA) 在其权限范围内为 CVE 记录提交他们自己的 CWE 映射。排名前 25 位的分析师将这些映射集成为重新映射的附加数据点。如果没有足够的细节来进行更深入的分析，则选择 CNA 映射。这可能会减少映射到 NVD-CWE-noinfo 的 CVE 数量，并让我们深入了解 CNA 本身可能的映射错误。它还揭示了对某些弱点的过度使用，例如 CWE-20 和 CWE-200。

分析师可以在单个漏洞中表示 CWE 之间的链接关系。使用了一个简单的语法：X-Y 暗示弱点 X 触发了弱点 Y。支持更长的链，例如 X-Y-Z。在某些情况下，同一 CVE 记录中存在多个链。虽然链接表示并没有影响今年的评分，但它提供了有价值的见解和真实世界的示例，说明未来如何表示链以应对漏洞。前 25 名团队打算与包括 NIST 在内的相关方分享经验。

由于要分析的潜在 CVE 的数量很大，因此定义了一个流程来取消对过于复杂和耗时而无法分析的 CVE 的优先级。例如，CVE 可能与开源产品中的访问控制问题相关，错误报告包含数十条产品特定的评论，试图确定正确的策略，或者包含大量更改的大量差异报告，除了针对弱点的修复. 这些复杂的 CVE 被标记为“TODO”，后来由经验丰富的分析师解决，或者推迟到明年进行潜在的重新分析。

219 个 CVE 被标记为 TODO 但未解决，即它们极其复杂且耗时。在重新映射期接近尾声时，还对似乎不太可能以任何显著方式影响最终前 25 名结果的 CVE 应用了去优先级；例如，如果映射到 CWE-20，许多 CVE 将被取消优先级，因为 CWE-20 的等级在数学上不太可能改变；同样，CWE-787 在#1 上遥遥领先，许多相关的 CVE 也被取消了优先级。共有 1,013 个 CVE 根本没有重新映射或分析。这种去优先级使分析师能够专注于完成 CVE，从而为 NVD / CNA 分析师带来更大的好处（以提供有关可能的映射错误的反馈），以及分析接近前 25 名底部或接近尖端顶部的 CWE ，因为甚至可能发生排名的微小变化。例如，CWE 团队有更多时间来分析密码学相关问题以及 CISA KEV 列表。许多相关的 CVE 也被取消了优先级。

共有 1,013 个 CVE 根本没有重新映射或分析。这种去优先级使分析师能够专注于完成 CVE，从而为 NVD / CNA 分析师带来更大的好处（以提供有关可能的映射错误的反馈），以及分析接近前 25 名底部或接近尖端顶部的 CWE ，因为甚至可能发生排名的微小变化。例如，CWE 团队有更多时间来分析密码学相关问题以及 CISA KEV 列表。许多相关的 CVE 也被取消了优先级。共有 1,013 个 CVE 根本没有重新映射或分析。这种去优先级使分析师能够专注于完成 CVE，从而为 NVD / CNA 分析师带来更大的好处（以提供有关可能的映射错误的反馈），以及分析接近前 25 名底部或接近尖端顶部的 CWE ，因为甚至可能发生排名的微小变化。例如，CWE 团队有更多时间来分析密码学相关问题以及 CISA KEV 列表。因为即使是小的等级变动也可能发生。例如，CWE 团队有更多时间来分析密码学相关问题以及 CISA KEV 列表。因为即使是小的等级变动也可能发生。例如，CWE 团队有更多时间来分析密码学相关问题以及 CISA KEV 列表。

注：本文由E安全编译报道，转载请联系授权并注明来源。