Mitre发布2020年CWE Top 25列表

0x00 介绍

CWE Top 25 列表由CWE团队根据美国国家标准技术研究院（NIST）和国家漏洞数据库（NVD）内的常见漏洞和公开（CVE®）数据以及常见漏洞评分系统（CVSS）得分并与每个CVE相关联。将公式应用于数据，并基于流行和严重程度为每个漏洞评分。

下表为2020年CWE Top 25中的漏洞，包括每个漏洞的总体得分：

2020年CWE Top 25（漏洞总体得分）

0x01 分析

与2019年的CWE Top 25列表相比，尽管2020年CWE Top 25中抽象的漏洞仍存在于列表中，但抽象漏洞较于更具体的漏洞的排名已经降低。比如CWE-119（Improper Restriction of Operations within the Bounds of a Memory Buffer），CWE-20（Improper Input Validation）和CWE-200（Exposure of Sensitive Information to an Unauthorized Actor）下移了几个排名，而CWE-79（Improper Neutralization of Input During Web Page Generation），CWE-787（Out-of-bounds Write）和CWE-125（Out-of-bounds Read）等更具体的漏洞逐渐取代了它们。

下图为2019年的CWE Top 25:

2019年CWE Top 25（漏洞总体得分）

其中，排名变化最大并涉及身份验证和授权相关的四个漏洞类型：

lCWE-522 (Insufficiently Protected Credentials)：从Top27上升到Top18

lCWE-306 (Missing Authentication for Critical Function)：从Top36上升到Top24

lCWE-862 (Missing Authorization)：从Top34上升到Top25

lCWE-863 (Incorrect Authorization)：从Top33上升到Top29

2019年与2020年的CWE Top 25列表相比，跌幅最大的四个漏洞类型为：

lCWE-426 (Untrusted Search Path)：从Top22下降到Top26

lCWE-295 (Improper Certificate Validation)：从Top25下降到Top28

lCWE-835 (Loop with Unreachable Exit Condition)：从Top26下降到Top36

lCWE-704 (Incorrect Type Conversion or Cast)：从Top28下降到Top37

另一个排名变化比较大的是比对到更具体的漏洞。在2019年，CWE-772排名第21位。但这并不能说明全部情况。对于2020年，使用了更具体的对比来显示确切的资源类型。因此变化，CWE-401由未进表单升为TOP32，而CWE-772却降至TOP75。此更改将创建更准确的CWE Top25，并能更精准地确定实际问题。

 

0x02 方法论

2020年CWE Top 25使用了2018年和2019年的NVD数据，其中包含约27,000个CVE漏洞相关的信息。漏洞的排序根据评分公式计算得出，该排序结合了漏洞的存在原因、频率以及被利用后的严重程度。此外，评分公式还会计算将CWE映射到NVD中的CVE的次数从而确定出CWE的频率。

Freq={count(CWE_X’∈NVD)for each CWE_X’in NVD}

Fr(CWE_X)=(count(CWE_X∈NVD)-min(Freq))/(max(Freq)-min(Freq))

得分公式中的另一个组成部分是漏洞的严重性，它由比对到CWE的所有CVE的平均CVSS得分来表示，下面的公式用于计算该值：

Sv(CWE_X)=(average_CVSS_for_CWE_X-min(CVSS))/(max(CVSS)-min(CVSS))

然后，通过将严重程度得分乘以频率得分来确定CWE所呈现的危险等级。

Score(CWE_X)=Fr(CWE_X)*Sv(CWE_X)*100

该方法的一些属性还值得进一步解释。

评分依据如下：

l不管评论方法如何，不常见的漏洞都不会获得高分。因为如果开发人员没有犯错误，则该漏洞不应在CWE Top 25中突出显示。

l影响较小的漏洞不会获得高分。

l既常见又可造成重大伤害的漏洞应获得高分。

  下表是2020年CWE Top25，以及相关的得分信息，包括与NVD数据集中与CWE相关的条目数，以及每个漏洞的平均CVSS得分:

               2020年CWE Top 25（NVD计数及CVSS评分）

  Mitre解释说：“NVD以易于理解的格式提供漏洞及相关信息，有助于推动以数据驱动的方式创建2020 CWE Top25。”

  “这种方法可以客观地了解当前在现实世界中看到的漏洞，为基于公开报告的漏洞（而不是主观的调查和观点）建立了严格的分析基础，并使该过程易于重复。”

  对于Top 25名之后的另外15名（即CWE Top 26-CWE Top 40)，根据得分公式，这些漏洞可能不够严重或不够普遍，因而未被列入2020年CWE Top 25。

  使用2020 CWE Top 25执行缓解措施和风险决策的个人可能要考虑在分析中包括以下的其它漏洞：

2020年CWE Top 26 - 40

0x04 扩展

  5月12日，网络安全和基础架构安全局（CISA）和联邦调查局（FBI）还发布了2016年至2019年间最常被利用的十大安全漏洞列表，即自2016年以来使用最多的10个漏洞：

                2016年以来使用最多的10个漏洞

  两家政府机构根据自2016年以来对网络攻击的分析，恶意攻击者经常利用Microsoft的对象链接和嵌入（OLE）技术中的漏洞，其中Apache Struts2是利用率第二高的漏洞。

0x05 相关新闻

  https://www.bleepingcomputer.com/news/security/mitre-shares-this-years-top-25-most-dangerous-software-bugs/?__cf_chl_jschl_tk__

0x06 参考链接

  http://cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html#cwe_top_25