Bleeping Computer 網站披露，五眼聯盟網絡安全機構、CISA、美國國家安全局（NSA）和聯邦調查局（FBI）聯合發(fā)布了一份 2022 年最容易被利用的 12 個漏洞清單，五眼聯盟網絡安全機構呼吁全球各地的實體組織盡快部署補丁管理系統，解決安全漏洞問題，以最大限度地降低潛在的網絡風險。

聯合公告中指出在 2022 年，相比對新披露漏洞的利用，網絡威脅攻擊者越來越多地將攻擊重點放在“過時”的軟件漏洞上，特別是針對未修補和暴露在互聯網上的系統。值得一提的是，許多軟件漏洞或漏洞鏈的概念驗證（PoC）代碼都是公開的，這就為網絡攻擊者利用漏洞提供了便利。

此外，截至 2022 年底，常見漏洞和暴露（CVE）計劃公布了超過 25000個新安全漏洞，但同年只有 5 個新漏洞進入網絡攻擊中最常用前12個漏洞名單中。以下是 2022 年被利用最多的 12 個安全漏洞列表，以及國家漏洞數據庫條目的相關鏈接：

第一個漏洞被追蹤為 CVE-2018-13379，是一個 Fortinet SSL VPN 漏洞，該公司在 2019 年 5 月修復該洞。問題。據悉，CVE-2018-13379 漏洞被某些具有國家背景的黑客用來入侵美國政府選舉支持系統。

公告中還重點介紹了另外 30 個經常被用來入侵世界各地實體組織的漏洞，包括關于安全團隊如何減少利用這些漏洞進行攻擊的信息。為確保系統安全并降低入侵風險，供應商、設計人員、開發(fā)人員和最終用戶組織應該根據公告中列出的緩解措施，盡快修復。

今年 6 月，MITRE 就已經公布了過去兩年中持續(xù)存在的 25 個最普遍、最危險的軟件漏洞；兩年前，MITRE 還分享了最危險的編程、設計和架構硬件安全漏洞；CISA 和 FBI 還發(fā)布了 2016 年至 2019 年被利用最多的十大安全漏洞匯編。

最后，美國國家安全局網絡安全局技術總監(jiān)尼爾-齊林（Neal Ziring）一再警告如果各實體組織繼續(xù)使用未打補丁的軟件和系統，就會給網絡威脅攻擊者留下容易被利用的漏洞，較早的漏洞更是為網絡攻擊者“訪問”實體組織的敏感數據提供了便利。

文章來源：https://www.bleepingcomputer.com/news/security/fbi-cisa-and-nsa-reveal-top-exploited-vulnerabilities-of-2022/