まったり技術ブログ

Webエンジニアのセキュリティブログ

2023年 人気脆弱性 TOP 10 in GitHub

はじめに

2023年も終わりが近づいてきたということで、毎年恒例の『人気脆弱性トップ10(2023年版)』を発表していきます。

ちなみに前年のランキングは次のようになっています。

スコア 公表日 CVE ID リポ数 スター合計
1位 2,924 2022/03/07 CVE-2022-0847 80 2,124
2位 2,176 2022/04/01 CVE-2022-22965 70 1,476
3位 2,131 2022/06/03 CVE-2022-26134 62 1,511
4位 1,683 2022/06/01 CVE-2022-30190 75 933
5位 1,479 2022/04/11 CVE-2022-22954 26 1,219
6位 1,475 2022/05/05 CVE-2022-1388 61 865
7位 1,289 2022/03/03 CVE-2022-22947 55 739
8位 821 2022/11/01 CVE-2022-3602 8 741
9位 766 2022/09/21 CVE-2022-39197 13 636
10位 753 2022/12/15 CVE-2022-46689 3 723

過去の結果はコチラから

スコアの計算方法

ランキングに利用するスコアの算出方法です。

  • ① リポジトリ毎に 10pt
  • ② スター毎に 1pt

「①+②の合計pt」でランキングを付けています。

対象となる脆弱性(2022年からの変更あり)

対象となる範囲を前回から変更し、12月に公開された脆弱性は当年の調査対象から除外するようにしました。
12月に公開された脆弱性が不利にならないようにすることが目的となっています。

(例)2023年が調査対象になる場合

  • 変更前
    • 「CVE-2023-*」
  • 変更後
    • 「CVE-2023-*」かつ「公表日が 2022/11/30 以前」
    • 「CVE-2022-*」かつ「公表日が 2022/12/01 以降」

(変更した経緯があり、前回ランクインした脆弱性が今回もランクインしています。)

2023年 人気脆弱性 TOP 10 in GitHub

10位 573 pt - Atlassian社の Confluence Data Center および Server におけるアクセス制御破損の脆弱性(CVE-2023-22515)

リポジトリ数: 18 / スター数: 393

  • Atlassian社が提供している「Confluence Server」「Data Center」の脆弱性
  • リモートより承認なしに「管理者アカウント」を作成し、インスタンスに対してアクセスすることが可能
  • 本脆弱性を利用したと思われる不正なアクセスが一部顧客(ユーザ)より報告を受けている
  • 既知の国家攻撃者が CVE-2023-22515 を積極的に悪用していることを示唆する証拠を得られている
  • CISA KEV に追加(2023年10月5日)

【PoC】

【参考】

9位 574 pt - Citrix社のネットワーク機器 Citrix ADC および Citrix Gateway に認証不要のRCEの脆弱性(CVE-2023-3519)

リポジトリ数: 14 / スター数: 434

  • Citrix社の「Citrix NetScaler ADC(Citrix ADC)」および「NetScaler Gateway(Citrix Gateway)」の脆弱性
  • 悪用されると、認証されていない遠隔の第三者が任意のコードを実行が可能
  • Citrixは脆弱性を悪用する攻撃を確認している
  • CISA KEV に追加(2023年7月19日)
  • JPCERT/CC から注意喚起あり

【PoC】

【参考】

8位 605 pt - Linux kernel の権限昇格の可能性の脆弱性 (CVE-2023-0386)

リポジトリ数: 8 / スター数: 525

  • 一般権限アカウントで脆弱な Linux システムへの侵入に成功した攻撃者は、root 権限への昇格が可能

【PoC】

【参考】

7位 686 pt - パスワード管理ツール「KeePass」にメモリダンプでマスターパスワードを復元できる脆弱性(CVE-2023-32784)

リポジトリ数: 8 / スター数: 606

  • KeePassは Windows・Mac・Linux 上で動作する人気のオープンソースのパスワードマネージャー
  • 実行中のプロセスのメモリからマスターキーを平文で抽出することができる脆弱性
    • マスターキーにより攻撃者は保存されているすべての認証情報にアクセスすることができるようになる

【PoC】

【参考】

6位 732 pt - Linuxの標準Cライブラリ(GNU Cライブラリ)におけるバッファオーバーフローの脆弱性(CVE-2023-4911 / Looney Tunables)

リポジトリ数: 13 / スター数: 602

  • 2023年10月に発見されたLinuxの標準Cライブラリ(GNU Cライブラリあるいはglibc)におけるバッファオーバーフローの脆弱性
  • 攻撃者は脆弱性を悪用し、root権限への昇格や不正アクセスを行うことが可能
  • CISA KEV に追加(2023年11月21日)

【POC】

【参考】

5位 770pt - Microsoft社の WinSock 用 Windows Ancillary Function Driver に権限昇格の脆弱性 (CVE-2023-21768)

リポジトリ数: 9 / スター数: 680

  • Microsoft Windows 11 とMicrosoft Windows Server 2022 が対象
  • Microsoft Windows OS に SYSTEM 権限への昇格が可能となる脆弱性

【PoC】

【参考】

4位 795 pt - ImageMagick の検証不備により任意のファイルが読み取り可能となる脆弱性(CVE-2022-44268)

リポジトリ数: 23 / スター数: 565

  • 悪意のある PNG ファイルの変換により、システム上の任意のファイルが読み取られる

【PoC】

【参考】

3位 998 pt - Windows社の Microsoft Outlook における特権昇格の脆弱性 (CVE-2023-23397)

リポジトリ数: 25 / スター数: 748

  • Windows Microsoft Outlook クライアントの脆弱性
  • 脆弱性を悪用することで、攻撃対象ネットワークのアカウントと認証情報を窃取すること、もしくはマルウェアなどのペイロードを送り込むことが可能になる
  • ユーザの介在を必要としない(ゼロタッチ)の脆弱性
  • CISA KEV に追加(2023年3月14日)

www.youtube.com

【PoC】

【参考】

2位 1,543 pt - RARLAB WinRAR のZIPファイル閲覧時に任意のコード実行となる脆弱性 (CVE-2023-38831)

リポジトリ数: 38 / スター数: 1,163

  • ZIP アーカイブ内の良性のファイルを閲覧しようとする際に攻撃者による任意のコード実行が行われる可能性
  • Group-IB の調査結果によると、この脆弱性は2023年4月以降にトレーダーを標的にするゼロデイ攻撃で利用された
  • CISA KEV に追加(2023年8月24日)

www.youtube.com

【PoC】

【参考】

1位 1,847 pt - macOS における権限昇格される脆弱性(CVE-2022-46689 / MacDirtyCow)

リポジトリ数: 13 / スター数: 1,717

  • iPhoneの改造に利用されている脆弱性
    • 一般(?)iPhoneユーザが利用する脆弱性のため人気と考えられます
  • App がカーネル権限で任意のコードを実行できる可能性があります。

www.youtube.com

【PoC】

【参考】

まとめ

今年の結果をまとめたのが以下の表です。

半分の脆弱性が CISA KEV に記載されており、「人気の脆弱性 ≒ 悪用される脆弱性」と言えるでしょう。

また KEV に登録されていなくても、「Linux Kernel」や「ImageMagick」のようなシェアの大きいソフトウェアの脆弱性も人気であることが分かります。

スコア 公表日 CVE ID リポ数 スター
合計
CVSS
基本値
KEV EPSS
(2023/12/18)
EPSS
Percentile
1位 1,847 2022/12/15 CVE-2022-46689 13 1,717 7.0 0.004670000 0.728290000 macOS における権限昇格される脆弱性
2位 1,543 2023/08/23 CVE-2023-38831 38 1,163 7.8 0.234040000 0.961100000 RARLAB WinRAR のZIPファイル閲覧時に任意のコード実行となる脆弱性
3位 998 2023/03/14 CVE-2023-23397 25 748 9.8 0.892850000 0.984770000 Windows社の Microsoft Outlook における特権昇格の脆弱性
4位 795 2023/02/06 CVE-2022-44268 23 565 6.5 0.013800000 0.848370000 ImageMagick の検証不備により任意のファイルが読み取り可能となる脆弱性
5位 770 2023/01/10 CVE-2023-21768 9 680 7.8 0.016680000 0.862570000 Microsoft社の WinSock 用 Windows Ancillary Function Driver に権限昇格の脆弱性
6位 732 2023/10/03 CVE-2023-4911 13 602 7.8 0.018070000 0.867950000 Linuxの標準Cライブラリ(GNU Cライブラリ)におけるバッファオーバーフローの脆弱性
7位 686 2023/05/15 CVE-2023-32784 8 606 7.5 0.001040000 0.422090000 パスワード管理ツール「KeePass」にメモリダンプでマスターパスワードを復元できる脆弱性
8位 605 2023/03/22 CVE-2023-0386 8 525 7.8 0.000420000 0.057550000 Linux kernel の権限昇格の可能性の脆弱性
9位 574 2023/07/19 CVE-2023-3519 14 434 9.8 0.890420000 0.984580000 Citrix社のネットワーク機器 Citrix ADC および Citrix Gateway に認証不要のRCEの脆弱性
10位 573 2023/10/04 CVE-2023-22515 18 393 9.8 0.955290000 0.992300000 Atlassian社の Confluence Data Center および Server におけるアクセス制御破損の脆弱性

2024年にはどのような脆弱性が出てくるのか楽しみです。
では良いお年を!!