こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。
明けましておめでとうございます。2022年も宜しくおねがい致します。
ここでは@ITでもやっていた、CVE/CWEの遷移の最新版(2021年版)をこちらで取り上げてみたいと思います。
皆様、2021年末は如何でしたでしょうか。おそらくはLog4jの脆弱性(しかもリモートコード実行がPoC付きでゼロデイで公開されるなんて何て罰ゲームだよ・・)発覚で、年末まで(ひょっとすると今も)対応に追われた方も多かったのではないかと思います。筆者も同様に、年末年始は(12/29に新たにCVE-2021-44832も出たので余計に)対応に追われました。
そのため、本記事を投稿するのに時間がかかってしまいましたが、第二回を漸く公開します。
「CVE(Common Vulnerabilities and Exposures)」「CWE(Common Weakness Enumeration)」など、SCAP(Security Content Automation Protocol:セキュリティ設定共通化手順)の要素となっている脆弱性情報の視点から見てみると、色々なことが見えてきますので最新版をアップデートしたくなり、こちらで公開させて頂きます。
尚、こちらで公開したデータは公になっているCVE情報から取得したものになります。二次転載は許容しますので、ご自由にお使いください(出典元としてリンクを張って頂けると嬉しいですが)。
今回はCWEに着目して、どのような脆弱性が増えたのか、Top5はなにか、というような考察を載せています。
前提
まずCVEに関してですが、@ITの記事と同じくNIST(アメリカ国立標準技術研究所)のNVD(National Vulnerability Database)から取得した情報を元にしています。MITREがCVEを発行してからNVDに登録されるまでの時間差を考慮して考察を加えています。
公開された脆弱性の種類の動向(CWEの遷移)
図1は2013-2021年に公開されたCVEを年ごとにグロスで見て、どのようなCWEが多かったかのTop30を出して見たものになります(大きいので、別ページで用意しています)。
この中で、まずは2021年にTop5に来たものと同行を見てみましょう。
2021年のCWEのTop5と推移
2021年のCWEのTop5は下記のようになります。
- CWE-79: クロスサイトスクリプティング (‘Cross-site Scripting’)
- CWE-787: 境界外書き込み (Out-of-bounds Write)
- CWE-20: 不適切な入力確認 (Improper Input Validation)
- CWE-269: 不適切な権限管理 (Improper Privilege Management)
- CWE-89: SQL インジェクション (‘SQL Injection’)
やはり、個別に説明をしなくても大丈夫なくらい有名なものがTop5に並んできています。この中でCWE-269だけが少しピンとこないかもしれません。
CWEの2013-2021年の動向で、特にTop5の動向を色付けして追いかけてみます。
上位Top5はほとんどが過去も上位に食い込んでいる脆弱性の様です。CWE-269(不適切な権限管理)だけが2020年から急激に伸びてきています。
CWE-269の伸び
CWE-269が急激に伸びているようなので、その内訳を見てみましょう。
こちらの図を見ておわかりのように、CWE-269に関してはMicrosoftの伸びが2021年に目立っています。ここをもう少し掘り下げましょう。
Microsoftの脆弱性リリースの中でCWE-269(不適切な権限管理)に関する毎月の数の推移が下図になります。
2018年、2019年までは年に数回しか出ていませんでしたが、2020年にはかなりの月で見かけるようになり、2021年には毎月必ず見かける形になっています。
脆弱性の見つかったコンポーネント・サービス類の推移が下の表になります。Kernelやブラウザだけではなく、2020年から2021年にかけて様々なコンポーネントでCWE-269に該当する脆弱性が見つかっています。
ここで気づくのは、2021年秋にはWindows 11がリリースされたことです。そこでCWE-269の毎月の推移とWindows 10/11のリリースを重ね合わせたものが下の図になります。
こうしてみると、Windows 11リリースに向けてバグ出しを行っている際や、新たにコンポーネントのセキュリティ設計を見直したり、というタイミングで権限管理を細かいレベルで見直したことにより、より適切な権限等が見つかったため、CWE-269(不適切な権限管理)が増えてきたのではないかということが推察できます。
主な脆弱性
最後に、2021年に発生した主要な脆弱性・セキュリティニュースをまとめます。
既に多くのWeb記事等で10大ニュース的なものはまとめられていますので、うちのサイト(SIOS OSSセキュリティブログ)へのアクセスが多かった記事を見てみましょう。基本的にOSSの脆弱性の記事が中心と>なります。
- sudoの脆弱性(Important: CVE-2021-3156 : Baron Samedi)
こちらはWormも発見されています。
また、PoCに関しては下記のようにYoutubeに動画を上げています。
- Apache Log4jの任意のコード実行の脆弱性(Log4Shell: CVE-2021-44228, CVE-2021-4104, CVE-2021-45046, CVE-2021-42550(logback), CVE-2021-45105, CVE-2021-44832 )
こちらはSELinux/iptablesとApache Log4jの任意のコード実行の脆弱性(Log4Shell: CVE-2021-44228)としてSELinux/iptablesで防げるか否かの話をしています。
また、PoCに関しては下記のようにYoutubeに動画を上げています。
- Apacheの脆弱性(Important: CVE-2021-31618 Moderate: CVE-2021-30641, CVE-2021-13938, Low: CVE-2021-26691 CVE-2021-26690 CVE-2020-35452 CVE-2020-13950 CVE-2019-17567 )
- Apache HTTP Serverの脆弱性情報(High: CVE-2021-40438, Moderate: CVE-2021-33193, CVE-2021-34798, CVE-2021-36160, Low: CVE-2021-39275)と新バージョン(Apache HTTP Server 2.4.49)
- Apache Tomcatの複数の脆弱性情報(Important: CVE-2021-30639, CVE-2021-33037, Low: CVE-2021-30640 )
- OpenSSLの脆弱性情報(High: CVE-2021-3711, Moderate: CVE-2021-3712 )と新バージョン(OpenSSL 1.1.1l)
- Apache HTTP Serverの脆弱性情報(Critical: CVE-2021-42013, Important: CVE-2021-41773, Moderate: CVE-2021-41524) (PoCつき)と新バージョン(2.4.51)
こちらも、PoCに関しては下記のようにYoutubeに動画を上げています。
1. Apache HTTP Serverの脆弱性(CVE-2021-41773)のPoC
2. Apache HTTP Serverの脆弱性(CVE-2021-42013)のPoC
- BIND 9の複数の脆弱性情報(Medium: CVE-2021-25214, High: CVE-2021-25215, CVE-2021-25216)と新バー
ジョン(9.11.31, 9.16.15, 9.17.12 ) - Apache Tomcatの脆弱性情報(Important: CVE-2021-25122, Low: CVE-2021-25329 )
- 全てのWifiデバイスや(WPA3を含む)プロトコルに対してのデザイン上の問題と実装上の問題(FragAttack)
このように、2021年も多くの脆弱性が公開されました。やはり「Apache」「OpenSSL」「BIND」「Tomact」は脆弱性が公開されると影響度も大きいので、かなりのアクセス数があります。また、Log4jに関してはその脆弱性の危険度が日経やNHK、テレビ等でも取り上げられたため、当ブログへのアクセスもかなりありました。
日々のメモを更新しています。
セキュリティ関係ニュースを更新しています。個別で情報出せるようになる前の簡単な情報・リンクなんかも載せていきます。
