近日,MITRE发布了2021年最常见且最危险的25个软件漏洞(CWE Top 25)。这些软件漏洞是影响软件解决方案代码、架构、实现或设计流程的缺陷、漏洞和各种其他类型的错误,可能会导致运行它的系统受到攻击。
2021年CWE Top 25
MITRE使用从国家漏洞数据库 (NVD) 获得的 2019 年和 2020 年常见漏洞和暴露 (CVE) 数据(大约27,000个CVE)制定出了2021年CWE Top 25。
MITRE解释称,
“漏洞的排序根据评分公式计算得出,该排序结合了漏洞的存在原因、频率以及被利用后的严重程度。此外,评分公式还会计算将CWE映射到NVD中的CVE的次数从而确定出CWE的频率。”
这种将公式应用于数据,并基于流行和严重程度为每个漏洞评分的方法,可以客观地了解当前在现实世界中看到的漏洞,为基于公开报告的漏洞(而不是主观的调查和观点)建立了严格的分析基础,并使该过程易于重复。
MITRE发布的2021年CWE Top 25无疑是十分危险的,因为它们通常影响范围极广,且普遍存在于过去两年发布的软件之中。
它们还可能被攻击者滥用,以完全控制易受攻击的系统、窃取目标的敏感数据或在成功利用后触发拒绝服务(DoS)。
下表为2021年CWE Top 25中的漏洞,包括每个漏洞的总体得分,为整个安全社区提供了有关软件漏洞最关键的洞察力:
【2021年CWE Top 25(漏洞总体得分)】
Top 10最常被利用的利用
去年5 月12 日,网络安全和基础设施安全局(CISA)和联邦调查局(FBI)还公布了2016年至2019年间最常被利用的10个安全漏洞列表,即自2016年以来使用最多的10个漏洞:
【2016年以来使用最多的10个漏洞】
CISA介绍称,
“在Top 10名单中,来自伊朗、朝鲜和俄罗斯的国家民族黑客最常使用的三个漏洞是CVE-2017-11882、CVE-2017-0199 和 CVE-2012-0158。所有这三个漏洞都与Microsoft的对象链接和嵌入(OLE)技术中有关。
从20018年12月开始,民族国家黑客频繁利用CVE-2012-0158,这表明他们的目标未能及时应用安全更新,并且只要未修补漏洞,攻击者就会继续尝试滥用漏洞。
此外,攻击者还一直专注于利用因匆忙部署Office 365等云协作服务而造成的安全漏洞。
鉴于持续的COVID-19大流行带来的远程工作迁移,未修补的Pulse Secure VPN漏洞 (CVE-2019-11510)和Citrix VPN(CVE-2019-19781)也是去年最受欢迎的目标。
CISA建议尽快从停产软件过渡,这是缓解未修补的旧安全漏洞最为简单快捷的方法。