freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

2021年CWE Top 25列表已更新,来看看得分最高的漏洞有哪些
2021-07-23 14:40:39
所属地 广东省

1627022059_60fa62ebe5f04df76a14c.jpg!small?1627022060688

近日,MITRE发布了2021年最常见且最危险的25个软件漏洞(CWE Top 25)。这些软件漏洞是影响软件解决方案代码、架构、实现或设计流程的缺陷、漏洞和各种其他类型的错误,可能会导致运行它的系统受到攻击。

2021年CWE Top 25

MITRE使用从国家漏洞数据库 (NVD) 获得的 2019 年和 2020 年常见漏洞和暴露 (CVE) 数据(大约27,000个CVE)制定出了2021年CWE Top 25。

MITRE解释称,

“漏洞的排序根据评分公式计算得出,该排序结合了漏洞的存在原因、频率以及被利用后的严重程度。此外,评分公式还会计算将CWE映射到NVD中的CVE的次数从而确定出CWE的频率。”

这种将公式应用于数据,并基于流行和严重程度为每个漏洞评分的方法,可以客观地了解当前在现实世界中看到的漏洞,为基于公开报告的漏洞(而不是主观的调查和观点)建立了严格的分析基础,并使该过程易于重复。

MITRE发布的2021年CWE Top 25无疑是十分危险的,因为它们通常影响范围极广,且普遍存在于过去两年发布的软件之中。

它们还可能被攻击者滥用,以完全控制易受攻击的系统、窃取目标的敏感数据或在成功利用后触发拒绝服务(DoS)。

下表为2021年CWE Top 25中的漏洞,包括每个漏洞的总体得分,为整个安全社区提供了有关软件漏洞最关键的洞察力:

1627022159_60fa634fae5cde1d1010a.png!small?1627022161088

【2021年CWE Top 25(漏洞总体得分)】

Top 10最常被利用的利用

去年5 月12 日,网络安全和基础设施安全局(CISA)和联邦调查局(FBI)还公布了2016年至2019年间最常被利用的10个安全漏洞列表,即自2016年以来使用最多的10个漏洞:

1627022055_60fa62e781c8866b06c4b.png!small?1627022060680

【2016年以来使用最多的10个漏洞】

CISA介绍称,

“在Top 10名单中,来自伊朗、朝鲜和俄罗斯的国家民族黑客最常使用的三个漏洞是CVE-2017-11882、CVE-2017-0199 和 CVE-2012-0158。所有这三个漏洞都与Microsoft的对象链接和嵌入(OLE)技术中有关。

从20018年12月开始,民族国家黑客频繁利用CVE-2012-0158,这表明他们的目标未能及时应用安全更新,并且只要未修补漏洞,攻击者就会继续尝试滥用漏洞。

此外,攻击者还一直专注于利用因匆忙部署Office 365等云协作服务而造成的安全漏洞。

鉴于持续的COVID-19大流行带来的远程工作迁移,未修补的Pulse Secure VPN漏洞 (CVE-2019-11510)和Citrix VPN(CVE-2019-19781)也是去年最受欢迎的目标。

CISA建议尽快从停产软件过渡,这是缓解未修补的旧安全漏洞最为简单快捷的方法。

# CWE Top 25
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录