查看原文
其他

MITRE 发布2021 CWE Top 25 榜单

SERGIU GATLAN 代码卫士 2022-11-01

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士


MITRE 公布了2021年前在过去两年中对软件安全造成威胁的25个最常见和最危险弱点排行榜。


软件弱点即影响软件解决方案代码、架构、实现或设计的缺陷、bug、漏洞和其它多种错误,可能将其所运行的系统暴露到攻击活动中。

MITRE 根据美国国家漏洞数据库 (NVD)在2019年和2020年发布的约2.7万个 CVE 漏洞,形成了这份清单。

MITRE 结合CWE成为漏洞根因的频率以及所预计的利用危害,计算出了弱点的排列顺序,以便客观地看待真实世界中出现的漏洞类型,以公开报告的漏洞而非主观调查和观点为基础进行分析,使得这一过程易于重复。

MITRE 发布的2021年Top 25 漏洞的危险之处在于,这些漏洞通常易于发现、影响力较高,并且在过去两年内流行于所发布软件中。攻击者还可以利用这些漏洞完全控制易受攻击系统、窃取目标的敏感数据或触发拒绝服务。




遭利用次数最多的前10个漏洞


去年5月12日,美国网络安全和基础设施安全局 (CISA) 和 FBI 发布了2016年和2019年期间10个遭利用最严重的漏洞。CISA 指出,“在这前10个漏洞中,遭国家黑客组织利用最多的是 CVE-2017-11882、CVE-2017-0199和 CVE-2012-0158。所有这些漏洞都和微软的 OLE 技术相关。

攻击者还专注于利用由匆忙部署云协作服务如 Office 365而引发的安全间隔。未修复的 Pulse Secure VPN 漏洞 (CVE-2019-11510) 和 Citrix VPN (CVE-2019-19781) 在去年受疫情影响也是备受黑客青睐的目标。

CISA 建议尽快避免使用到达生命周期的软件,这是缓解老旧未修复安全漏洞最容易也最快速的方法。

自2016年以来,遭利用的前10个安全缺陷如下:





推荐阅读
MITRE 发布 2020 CWE Top 25 榜单
时隔8年,MITRE再次发布 CWE Top 25 榜单




原文链接

https://www.bleepingcomputer.com/news/security/mitre-updates-list-of-top-25-most-dangerous-software-bugs/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。


奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存