近日，MITRE發(fā)布了2021年最常見且最危險的25個軟件漏洞(CWE Top 25)。這些軟件漏洞是影響軟件解決方案代碼、架構(gòu)、實現(xiàn)或設(shè)計流程的缺陷、漏洞和各種其他類型的錯誤，可能會導(dǎo)致運行它的系統(tǒng)受到攻擊。

[[415929]]

2021年CWE Top 25

MITRE使用從國家漏洞數(shù)據(jù)庫 (NVD) 獲得的 2019 年和 2020 年常見漏洞和暴露 (CVE) 數(shù)據(jù)(大約27,000個CVE)制定出了2021年CWE Top 25。

MITRE解釋稱，

這種將公式應(yīng)用于數(shù)據(jù)，并基于流行和嚴(yán)重程度為每個漏洞評分的方法，可以客觀地了解當(dāng)前在現(xiàn)實世界中看到的漏洞，為基于公開報告的漏洞(而不是主觀的調(diào)查和觀點)建立了嚴(yán)格的分析基礎(chǔ)，并使該過程易于重復(fù)。

MITRE發(fā)布的2021年CWE Top 25無疑是十分危險的，因為它們通常影響范圍極廣，且普遍存在于過去兩年發(fā)布的軟件之中。

它們還可能被攻擊者濫用，以完全控制易受攻擊的系統(tǒng)、竊取目標(biāo)的敏感數(shù)據(jù)或在成功利用后觸發(fā)拒絕服務(wù)(DoS)。

下表為2021年CWE Top 25中的漏洞，包括每個漏洞的總體得分，為整個安全社區(qū)提供了有關(guān)軟件漏洞最關(guān)鍵的洞察力：

【2021年CWE Top 25(漏洞總體得分)】

Top 10最常被利用的利用

去年5 月12 日，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和聯(lián)邦調(diào)查局(FBI)還公布了2016年至2019年間最常被利用的10個安全漏洞列表，即自2016年以來使用最多的10個漏洞：

【2016年以來使用最多的10個漏洞】

CISA介紹稱，

從20018年12月開始，民族國家黑客頻繁利用CVE-2012-0158，這表明他們的目標(biāo)未能及時應(yīng)用安全更新，并且只要未修補漏洞，攻擊者就會繼續(xù)嘗試濫用漏洞。

此外，攻擊者還一直專注于利用因匆忙部署Office 365等云協(xié)作服務(wù)而造成的安全漏洞。

鑒于持續(xù)的COVID-19大流行帶來的遠(yuǎn)程工作遷移，未修補的Pulse Secure VPN漏洞 (CVE-2019-11510)和Citrix VPN(CVE-2019-19781)也是去年最受歡迎的目標(biāo)。

CISA建議盡快從停產(chǎn)軟件過渡，這是緩解未修補的舊安全漏洞最為簡單快捷的方法。