近日,MITRE发布了2021年最常见和最危险的25个软件漏洞(CWETop25)。这些软件漏洞是影响软件解决方案的代码、体系结构、实现或设计过程的缺陷、错误和各种其他类型的错误,可能导致对其运行的系统进行攻击。2021CWETop25MITRE使用从国家漏洞数据库(NVD)获得的2019年和2020年常见漏洞和暴露(CVE)数据(约27,000个CVE)来制定2021CWETop25。MITRE解释说,“漏洞排名是基于得分公式结合了漏洞存在的原因、漏洞被利用的频率以及漏洞被利用时的严重程度。此外,评分公式会计算CWE在NVD中映射到CVE的次数,这决定了CWE的频率。”这种将公式应用于数据并根据流行程度和严重程度对每个漏洞进行评分的方法可以客观地了解当前在现实世界中看到的漏洞,并根据公开报告为漏洞提供更高的评级。(而不是主观调查和意见)建立了严格的分析基础,并使该过程易于重复。MITRE发布的2021CWETop25无疑是非常危险的,因为它们通常影响范围很广,在过去两年发布的软件中很常见。它们还可能被攻击者滥用以完全控制易受攻击的系统、窃取目标的敏感数据或在成功利用后触发拒绝服务(DoS)。下表列出了2021年CWETop25中的漏洞,包括每个漏洞的总分,为整个安全社区提供最关键的软件漏洞洞察:【2021CWETop25(OverallVulnerabilityScore)】Top10most最常被利用的漏洞去年5月12日,美国网络安全与基础设施安全局(CISA)和美国联邦调查局(FBI)也发布了2016年至2019年,即2016年以来最常被利用的10个安全漏洞清单。这10个自2016年以来最常用的漏洞:[自2016年以来最常用的10个漏洞]根据CISA,“在Top10列表中,来自伊朗、朝鲜和俄罗斯的民族国家黑客最常用的三个漏洞是CVE-2017-11882、CVE-2017-0199和CVE-2012-0158。这三个漏洞都与Microsoft的对象链接和嵌入(OLE)技术有关。从2001年12月开始,民族国家黑客频繁利用CVE-2012-0158,这表明他们的目标未能及时应用安全更新,并且只要该漏洞仍未修补,攻击者就会继续尝试滥用该漏洞。此外,攻击者还专注于利用Office365等云协作服务的仓促部署造成的安全漏洞。鉴于持续的COVID-19大流行带来的远程工作迁移,未修补的PulseSecureVPN漏洞(CVE-2019-11510)和CitrixVPN(CVE-2019-19781)也是去年最受欢迎的目标。CISA建议尽快从已停产的软件过渡,这是缓解旧的、未修补的安全漏洞的最简单、最快捷的方法。
