2021年CWE Top 25列表已更新,來看看得分最高的漏洞有哪些
近日,MITRE發布了2021年最常見且最危險的25個軟件漏洞(CWE Top 25)。這些軟件漏洞是影響軟件解決方案代碼、架構、實現或設計流程的缺陷、漏洞和各種其他類型的錯誤,可能會導致運行它的系統受到攻擊。
2021年CWE Top 25
MITRE使用從國家漏洞數據庫 (NVD) 獲得的 2019 年和 2020 年常見漏洞和暴露 (CVE) 數據(大約27,000個CVE)制定出了2021年CWE Top 25。
MITRE解釋稱,
| “漏洞的排序根據評分公式計算得出,該排序結合了漏洞的存在原因、頻率以及被利用后的嚴重程度。此外,評分公式還會計算將CWE映射到NVD中的CVE的次數從而確定出CWE的頻率。” |
這種將公式應用于數據,并基于流行和嚴重程度為每個漏洞評分的方法,可以客觀地了解當前在現實世界中看到的漏洞,為基于公開報告的漏洞(而不是主觀的調查和觀點)建立了嚴格的分析基礎,并使該過程易于重復。
MITRE發布的2021年CWE Top 25無疑是十分危險的,因為它們通常影響范圍極廣,且普遍存在于過去兩年發布的軟件之中。
它們還可能被攻擊者濫用,以完全控制易受攻擊的系統、竊取目標的敏感數據或在成功利用后觸發拒絕服務(DoS)。
下表為2021年CWE Top 25中的漏洞,包括每個漏洞的總體得分,為整個安全社區提供了有關軟件漏洞最關鍵的洞察力:
【2021年CWE Top 25(漏洞總體得分)】
Top 10最常被利用的利用
去年5 月12 日,網絡安全和基礎設施安全局(CISA)和聯邦調查局(FBI)還公布了2016年至2019年間最常被利用的10個安全漏洞列表,即自2016年以來使用最多的10個漏洞:
【2016年以來使用最多的10個漏洞】
CISA介紹稱,
| “在Top 10名單中,來自伊朗、朝鮮和俄羅斯的國家民族黑客最常使用的三個漏洞是CVE-2017-11882、CVE-2017-0199 和 CVE-2012-0158。所有這三個漏洞都與Microsoft的對象鏈接和嵌入(OLE)技術中有關。” |
從20018年12月開始,民族國家黑客頻繁利用CVE-2012-0158,這表明他們的目標未能及時應用安全更新,并且只要未修補漏洞,攻擊者就會繼續嘗試濫用漏洞。
此外,攻擊者還一直專注于利用因匆忙部署Office 365等云協作服務而造成的安全漏洞。
鑒于持續的COVID-19大流行帶來的遠程工作遷移,未修補的Pulse Secure VPN漏洞 (CVE-2019-11510)和Citrix VPN(CVE-2019-19781)也是去年最受歡迎的目標。
CISA建議盡快從停產軟件過渡,這是緩解未修補的舊安全漏洞最為簡單快捷的方法。
