5月12日，美國(guó)國(guó)土安全部(DHS)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全機(jī)構(gòu)(CISA，Cybersecurity和Infrastructure Security Agency)和FBI聯(lián)合發(fā)布了一份關(guān)于《2016年-2019年被利用最多的10個(gè)軟件安全漏洞》的報(bào)告，督促相關(guān)機(jī)構(gòu)應(yīng)用必要的安全更新來(lái)預(yù)防當(dāng)前常見(jiàn)的一些攻擊方式。

[[326371]]

被利用比較多的10個(gè)漏洞

報(bào)告指出過(guò)去4年里(2016年-2019年)被利用最多的10個(gè)安全漏洞是：

• CVE-2017-11882：影響Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016產(chǎn)品
• CVE-2017-0199：影響Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016, Vista SP2, Server 2008 SP2, Windows 7 SP1, Windows 8.1
• CVE-2017-5638：影響Apache Struts 2 2.3.32之前的 2.3.x版本和2.5.10.1之前的2.5.x版本
• CVE-2012-0158：影響Microsoft Office 2003 SP3, 2007 SP2和SP3, 2010 Gold和SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4,和2008 SP2, SP3,和R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2和2009 Gold和R2; Visual FoxPro 8.0 SP1和9.0 SP2;Visual Basic 6.0
• CVE-2019-0604：影響Microsoft SharePoint
• CVE-2017-0143：影響Microsoft Windows Vista SP2，Windows Server 2008 SP2、R2 SP1， Windows 7 SP1、Windows 8.1、Windows Server 2012 Gold和R2，Windows RT 8.1和Windows 10 Gold、1511和1607版本， Windows Server 2016
• CVE-2018-4878：影響Adobe Flash Player 28.0.0.161之前版本
• CVE-2017-8759：影響Microsoft .NET Framework 2.0、3.5、3.5.1、4.5.2、4.6、4.6.1、4.6.2 和4.7版本
• CVE-2015-1641：影響Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word for Mac 2011, Office Compatibility Pack SP3, Word Automation Services on SharePoint Server 2010 SP2 和2013 SP1, Office Web Apps Server 2010 SP2和2013 SP1
• CVE-2018-7600：影響Drupal 7.58之前版本、8.3.9之前的8.x 版本、8.4.6之前的8.4.x和8.5.1之前的8.5.x 版本

漏洞分布

美國(guó)政府分析發(fā)現(xiàn)，伊朗、朝鮮和俄羅斯利用比較多的3個(gè)漏洞是：

• CVE-2017-11882
• CVE-2017-0199
• CVE-2012-0158

這3個(gè)漏洞都是微軟Office Object Linking和Embedding (OLE)中的漏洞。OLE允許文檔中含有來(lái)自其他應(yīng)用中嵌入的內(nèi)容，比如excel表格。2019年初的一項(xiàng)研究也表明，攻擊者利用最多的漏洞存在于微軟和Adobe Flash產(chǎn)品中，可能是因?yàn)檫@些產(chǎn)品被廣泛引用。排名第二的是web框架 Apache Struts。

2020年漏洞利用情況

除了2016年到2019年被利用比較多的10個(gè)漏洞外，美國(guó)政府還報(bào)告了2020年被利用比較多的一些漏洞以及網(wǎng)絡(luò)攻擊趨勢(shì)。

1、VPN漏洞。今年以來(lái)，惡意網(wǎng)絡(luò)攻擊者開(kāi)始不斷攻擊未修復(fù)的VPN漏洞：

• CVE-2019-19781：Citrix VPN應(yīng)用中的任意代碼執(zhí)行漏洞
• CVE-2019-11510：Pulse Secure VPN服務(wù)器中的一個(gè)任意文件讀漏洞

2、office 365漏洞。2020年3月以來(lái)遠(yuǎn)程辦公軟件使用量激增。攻擊者開(kāi)始利用office 365軟件的安全漏洞，對(duì)相關(guān)安全配置進(jìn)行掃描和發(fā)起攻擊。

3、勒索軟件攻擊。員工對(duì)社會(huì)工程攻擊了解不足、缺乏系統(tǒng)恢復(fù)和應(yīng)急方案，2020年企業(yè)遭受勒索軟件攻擊可能會(huì)成為一個(gè)新的趨勢(shì)。