MITRE 发布2021 CWE Top 25 榜单
编译:奇安信代码卫士
MITRE 公布了2021年前在过去两年中对软件安全造成威胁的25个最常见和最危险弱点排行榜。
软件弱点即影响软件解决方案代码、架构、实现或设计的缺陷、bug、漏洞和其它多种错误,可能将其所运行的系统暴露到攻击活动中。
MITRE 根据美国国家漏洞数据库 (NVD)在2019年和2020年发布的约2.7万个 CVE 漏洞,形成了这份清单。
MITRE 结合CWE成为漏洞根因的频率以及所预计的利用危害,计算出了弱点的排列顺序,以便客观地看待真实世界中出现的漏洞类型,以公开报告的漏洞而非主观调查和观点为基础进行分析,使得这一过程易于重复。
MITRE 发布的2021年Top 25 漏洞的危险之处在于,这些漏洞通常易于发现、影响力较高,并且在过去两年内流行于所发布软件中。攻击者还可以利用这些漏洞完全控制易受攻击系统、窃取目标的敏感数据或触发拒绝服务。
遭利用次数最多的前10个漏洞
去年5月12日,美国网络安全和基础设施安全局 (CISA) 和 FBI 发布了2016年和2019年期间10个遭利用最严重的漏洞。CISA 指出,“在这前10个漏洞中,遭国家黑客组织利用最多的是 CVE-2017-11882、CVE-2017-0199和 CVE-2012-0158。所有这些漏洞都和微软的 OLE 技术相关。
攻击者还专注于利用由匆忙部署云协作服务如 Office 365而引发的安全间隔。未修复的 Pulse Secure VPN 漏洞 (CVE-2019-11510) 和 Citrix VPN (CVE-2019-19781) 在去年受疫情影响也是备受黑客青睐的目标。
CISA 建议尽快避免使用到达生命周期的软件,这是缓解老旧未修复安全漏洞最容易也最快速的方法。
自2016年以来,遭利用的前10个安全缺陷如下:
时隔8年,MITRE再次发布 CWE Top 25 榜单
https://www.bleepingcomputer.com/news/security/mitre-updates-list-of-top-25-most-dangerous-software-bugs/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。