まったり技術ブログ

Webエンジニアのセキュリティブログ

2024年 人気脆弱性 TOP 10 in GitHub

はじめに

2024年も終わりが近づいてきたということで、毎年恒例の「人気脆弱性トップ10(2024年版)」を発表します。

過去のランキングはコチラから

スコアの計算方法

ランキングに利用するスコアの算出方法です。

  • リポジトリ毎に 10pt … ①
  • スター毎に 1pt … ②

「①+② の合計pt」でランキングを付けています。

対象となる脆弱性

  • 「CVE-2023-*」かつ「公表日が 2023/12/01 以降」
  • 「CVE-2024-*」かつ「公表日が 2024/11/30 以前」

2024年 人気脆弱性 TOP 10 in GitHub

10位 777 pt - Windows カーネルにおける権限昇格される脆弱性(CVE-2024-30088)

リポジトリ数: 6 / スター数: 717

  • 権限昇格が生じる脆弱性
  • 「Windows カーネル」において、「TOCTOU(Time-of-check Time-of-use)」による競合状態に起因
  • CISA KEV に追加

www.youtube.com

【参考】

9位 897 pt - Jenkins の任意のファイル読み取りの脆弱性(CVE-2024-23897)

リポジトリ数: 34 / スター数: 557

  • 任意のファイル読み取りの脆弱性
  • Jenkins にはスクリプトまたはシェル環境からJenkinsへアクセスするコマンドラインインターフェースの機能 (Jenkins CLI)が組み込まれている。このCLIを介して任意のファイル読み取りが行える
  • 特定の条件下においてリモートコード実行が可能となる恐れがある
  • CISA KEV に追加

【参考】

8位 1,094 pt - Windows TCP/IP におけるリモートでコードが実行される脆弱性(CVE-2024-38063)

リポジトリ数: 29 / スター数: 804

  • リモートコード実行の脆弱性
  • 認証されていない攻撃者が、標的とする Windows マシンに細工された IPv6 パケットを繰り返し送信することで発生させることができる
  • IPv6 が無効にされたシステムは、この脆弱性の影響を受けない
  • Cisco Talos が発見した

【参考】

7位 1,120 pt - Microsoft Office Outlook におけるリモートでコードが実行される脆弱性(CVE-2024-21413)

リポジトリ数: 16 / スター数: 960

  • リモートコード実行の脆弱性
  • 脆弱なエディションを用いて悪意のリンクを含む電子メールを開くと発生する
  • Check Point の脆弱性研究者である Haifei Li によって発見

CVE-2024-21413-RCE

【参考】

6位 1,204 pt - PHP におけるリモートでコードが実行される脆弱性(CVE-2024-4577)

リポジトリ数: 54 / スター数: 664

  • リモートコード実行の脆弱性
  • 特定のロケール設定(中国語繁体字(Code Page 950)/簡体字(Code Page 936)、日本語(Code Page 932))で動作するWindows 環境では攻撃が可能であることが確認
  • IPAによると、国内の複数組織においてこの脆弱性が悪用され、当該製品が稼働する Web サービスに webshell が設置されていたとの指摘があり
  • セキュリティコンサルティング会社 DEVCORE の研究者によって発見
  • CISA KEV に追加

【参考】

5位 1,319 pt - Git におけるリモートでコードが実行される脆弱性(CVE-2024-32002)

リポジトリ数: 64 / スター数: 679

  • セキュリティ研究者の Amar Murali が発見した
  • リモートコード実行の脆弱性
  • クローン作成中の Git のサブモジュールの扱い方のに起因するものであり、悪用に成功した攻撃者は、リモートから任意のコードを実行する

【参考】

4位 1,405 pt - Bluetooth スタックに認証バイパスの脆弱性(CVE-2023-45866)

リポジトリ数: 8 / スター数: 1,325

  • 攻撃者はユーザー確認なしに検出可能なホストに接続し、キー入力を行うことが可能

本脆弱性のユースケース例:

引用: 永島さんの家に攻撃してみた in 明星大学 #初心者 - Qiita

【参考】

3位 2,390 pt - Linux Kernel における権限昇格の脆弱性(CVE-2024-1086)

リポジトリ数: 7 / スター数: 2,320

  • ローカル環境において脆弱性を悪用すると権限の昇格が可能で、root権限を取得することが可能
  • コンポーネント「nf_tables」に解放後のメモリを使用するいわゆる「Use After Free」の脆弱性
  • カーネルをクラッシュさせたり、カーネル内で任意のコードを実行したりする恐れがある
  • CISA KEV に追加

Wikipedia のページが作成されるほど有名な脆弱性

【参考】

2位 2,800 pt - OpenSSH サーバ(sshd)におけるリモートでコードが実行される脆弱性(CVE-2024-6387:通称「regreSSHion」)

リポジトリ数: 90 / スター数: 1,900

  • リモートコード実行の脆弱性
  • OpenSSHサーバーのシグナルハンドラの競合により発生します。攻撃者は、設定された時間内に認証に失敗することで、この競合状態を引き起こす可能性
  • 悪用には長時間の接続と大量の試行が必要であり、実際の攻撃における悪用は現在まで確認されていない
  • 米国のセキュリティベンダー Qualys が発見した

攻撃の流れ
引用: OpenSSHの脆弱性「regreSSHion」(CVE-2024-6387)について | サービス&セキュリティ株式会社

【参考】

1位 4,522 pt - XZ Utilsに悪意のあるコードが挿入された問題(CVE-2024-3094)

リポジトリ数: 58 / スター数: 3,942

  • 複数の Linux ディストリビューションなどで利用されているファイル可逆圧縮ツールである XZ Utils に悪意のあるコードが挿入された問題
  • 影響を受けるバージョン:XZ Utils 5.6.0 および 5.6.1
  • 同ツールの共同開発者により2024年2月24日頃に挿入された
  • 特定条件下でSSHポート経由で外部から攻撃者が接続できる可能性がある

日本語の Wikipedia のページが作成されるほど有名な脆弱性

【参考】

まとめ

2024年の人気脆弱性は以下のようになりました。

スコア 公表日 CVE ID リポ数 スター合計
1位 4,522 2024/03/29 CVE-2024-3094 58 3,942 XZ Utilsに悪意のあるコードが挿入された問題
2位 2,800 2024/07/01 CVE-2024-6387 90 1,900 OpenSSH サーバ(sshd)におけるリモートでコードが実行される脆弱性
3位 2,390 2024/01/31 CVE-2024-1086 7 2,320 Linux Kernel における権限昇格の脆弱性
4位 1,405 2023/12/08 CVE-2023-45866 8 1,325 Bluetooth スタックに認証バイパスの脆弱性
5位 1,319 2024/05/14 CVE-2024-32002 64 679 Git におけるリモートでコードが実行される脆弱性
6位 1,204 2024/06/09 CVE-2024-4577 54 664 PHP におけるリモートでコードが実行される脆弱性
7位 1,120 2024/02/13 CVE-2024-21413 16 960 Microsoft Office Outlook におけるリモートでコードが実行される脆弱性
8位 1,094 2024/08/13 CVE-2024-38063 29 804 Windows TCP/IP におけるリモートでコードが実行される脆弱性
9位 897 2024/01/24 CVE-2024-23897 34 557 Jenkins の任意のファイル読み取りの脆弱性
10位 777 2024/06/11 CVE-2024-30088 6 717 Windows カーネルにおける権限昇格される脆弱性