通過(guò)與美國(guó)NSA和FBI合作，五眼聯(lián)盟網(wǎng)絡(luò)安全當(dāng)局發(fā)布了2021年黑客利用最多的排名前15的網(wǎng)絡(luò)安全漏洞列表。

網(wǎng)絡(luò)安全當(dāng)局在聯(lián)合咨詢(xún)報(bào)告中進(jìn)一步敦促企業(yè)和組織，應(yīng)及時(shí)修補(bǔ)這些安全漏洞并實(shí)施補(bǔ)丁管理系統(tǒng)以減少暴露的攻擊面。

目前在全球范圍內(nèi)，針對(duì)新披露的安全漏洞，攻擊者更傾向于將攻擊重點(diǎn)放在互聯(lián)網(wǎng)系統(tǒng)上，包括電子郵件和虛擬專(zhuān)用網(wǎng)絡(luò) (VPN) 服務(wù)器。

“美國(guó)、澳大利亞、加拿大、新西蘭和英國(guó)(五眼聯(lián)盟)的網(wǎng)絡(luò)安全當(dāng)局評(píng)估，在2021年，惡意網(wǎng)絡(luò)行為者針對(duì)包括全球公共和私營(yíng)部門(mén)組織在內(nèi)的廣泛目標(biāo)集積極針對(duì)新披露的關(guān)鍵軟件漏洞。”

出現(xiàn)這一情況的原因，可能是在上述2021排名前15的漏洞被披露后，攻擊者和安全研究員在兩周內(nèi)就發(fā)布了概念證明 (POC) 漏洞利用，直接導(dǎo)致這些漏洞可以輕松被用于網(wǎng)絡(luò)攻擊。

值得注意的是，報(bào)告還進(jìn)一步表示，有不少攻擊者會(huì)將網(wǎng)絡(luò)攻擊的目標(biāo)集中在幾年前發(fā)布的舊漏洞上，這意味著哪怕這些漏洞已經(jīng)發(fā)布了可用的補(bǔ)丁，但依舊還有很多企業(yè)和組織沒(méi)有及時(shí)更新系統(tǒng)補(bǔ)丁，以至于被黑客成功入侵。

以下是2021年利用最多的前15個(gè)漏洞的列表：

• 美國(guó)、澳大利亞、加拿大、新西蘭和英國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)還披露了2021 年惡意網(wǎng)絡(luò)攻擊者通常利用的另外21個(gè)安全漏洞，包括影響 Accellion 文件傳輸設(shè)備 (FTA)、Windows Print Spooler 和 Pulse Secure 的安全漏洞脈沖連接安全。
• 聯(lián)合咨詢(xún)報(bào)告中給出了相應(yīng)的緩解措施，這些措施將可有效降低與上述最嚴(yán)重的濫用缺陷相關(guān)的風(fēng)險(xiǎn)。
• 此外，CISA和FBI還與澳大利亞網(wǎng)絡(luò)安全中心 (ACSC)、英國(guó)國(guó)家網(wǎng)絡(luò)安全中心 (NCSC) 合作，發(fā)布了2016年至2019年間最常被利用的10個(gè)安全漏洞列表，以及2020年經(jīng)常被利用的漏洞列表。
• 2021年11月，MITRE還分享了2021年網(wǎng)絡(luò)硬件的最危險(xiǎn)編程、設(shè)計(jì)和架構(gòu)安全漏洞列表，以及前兩年網(wǎng)絡(luò)軟件的25個(gè)最常見(jiàn)和最危險(xiǎn)的弱點(diǎn)。

CISA發(fā)言人Jen Easterly表示：我們都知道網(wǎng)絡(luò)攻擊者最終都是殊途同歸，這意味著他們會(huì)針對(duì)這些相同的關(guān)鍵軟件漏洞，并持續(xù)發(fā)起網(wǎng)絡(luò)攻擊，直到企業(yè)和組織修復(fù)了這些漏洞。這也是CISA和合作機(jī)構(gòu)發(fā)布該報(bào)告的原因，希望企業(yè)和組織提高對(duì)被經(jīng)常利用漏洞風(fēng)險(xiǎn)的重視程度。同時(shí)CISA也將進(jìn)一步敦促所有組織評(píng)估其漏洞管理實(shí)踐，采取相關(guān)行動(dòng)，降低已知漏洞利用的風(fēng)險(xiǎn)。