近期,MITRE 公布了过去两年中对软件安全造成威胁的25个最常见和最危险漏洞。
软件漏洞即影响软件解决方案代码、架构、实现或设计的缺陷、bug、漏洞和其它多种错误,可能将其所运行的系统暴露到攻击活动中。
MITRE 根据美国国家漏洞数据库 (NVD)在2019年和2020年发布的约2.7万个 CVE 漏洞,形成了这份清单。
MITRE 结合CWE成为漏洞根因的频率以及所预计的利用危害,计算出了漏洞的排列顺序,以便客观地看待真实世界中出现的漏洞类型,以公开报告的漏洞而非主观调查和观点为基础进行分析,使得这一过程易于重复。
2021年漏洞Top25
MITRE 发布的2021年Top 25 漏洞,它们危险之处在于,通常易于发现、影响力较高,并且在过去两年内流行于所发布软件中。攻击者还可以利用这些漏洞完全控制易受攻击系统、窃取目标的敏感数据或触发拒绝服务。
遭利用次数最多的前10个漏洞
去年5月12日,美国网络安全和基础设施安全局 (CISA) 和 FBI 发布了2016年和2019年期间10个遭利用最严重的漏洞。CISA 指出,“在这前10个漏洞中,遭国家黑客组织利用最多的是 CVE-2017-11882、CVE-2017-0199和 CVE-2012-0158。所有这些漏洞都和微软的 OLE 技术相关。
攻击者还专注于利用由匆忙部署云协作服务如 Office 365而引发的安全间隔。未修复的 Pulse Secure VPN 漏洞 (CVE-2019-11510) 和 Citrix VPN (CVE-2019-19781) 在去年受疫情影响也是备受黑客青睐的目标。
CISA 建议尽快避免使用到达生命周期的软件,这是缓解老旧未修复安全漏洞最容易也最快速的方法。
自2016年以来,遭利用的前10个安全缺陷如下:
极牛网精选文章《MITRE 发布 2021 年网络安全漏洞 Top25 排行榜》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15567.html