2021年CWE Top 25列表已更新,来看看得分最高的漏洞有哪些

安全 漏洞
近日,MITRE发布了2021年最常见且最危险的25个软件漏洞。这些软件漏洞是影响软件解决方案代码、架构、实现或设计流程的缺陷、漏洞和各种其他类型的错误,可能会导致运行它的系统受到攻击。

近日,MITRE发布了2021年最常见且最危险的25个软件漏洞(CWE Top 25)。这些软件漏洞是影响软件解决方案代码、架构、实现或设计流程的缺陷、漏洞和各种其他类型的错误,可能会导致运行它的系统受到攻击。

[[415929]]

2021年CWE Top 25

MITRE使用从国家漏洞数据库 (NVD) 获得的 2019 年和 2020 年常见漏洞和暴露 (CVE) 数据(大约27,000个CVE)制定出了2021年CWE Top 25。

MITRE解释称,

“漏洞的排序根据评分公式计算得出,该排序结合了漏洞的存在原因、频率以及被利用后的严重程度。此外,评分公式还会计算将CWE映射到NVD中的CVE的次数从而确定出CWE的频率。”

这种将公式应用于数据,并基于流行和严重程度为每个漏洞评分的方法,可以客观地了解当前在现实世界中看到的漏洞,为基于公开报告的漏洞(而不是主观的调查和观点)建立了严格的分析基础,并使该过程易于重复。

MITRE发布的2021年CWE Top 25无疑是十分危险的,因为它们通常影响范围极广,且普遍存在于过去两年发布的软件之中。

它们还可能被攻击者滥用,以完全控制易受攻击的系统、窃取目标的敏感数据或在成功利用后触发拒绝服务(DoS)。

下表为2021年CWE Top 25中的漏洞,包括每个漏洞的总体得分,为整个安全社区提供了有关软件漏洞最关键的洞察力:

【2021年CWE Top 25(漏洞总体得分)】

Top 10最常被利用的利用

去年5 月12 日,网络安全和基础设施安全局(CISA)和联邦调查局(FBI)还公布了2016年至2019年间最常被利用的10个安全漏洞列表,即自2016年以来使用最多的10个漏洞:

【2016年以来使用最多的10个漏洞】

CISA介绍称,

“在Top 10名单中,来自伊朗、朝鲜和俄罗斯的国家民族黑客最常使用的三个漏洞是CVE-2017-11882、CVE-2017-0199 和 CVE-2012-0158。所有这三个漏洞都与Microsoft的对象链接和嵌入(OLE)技术中有关。”

从20018年12月开始,民族国家黑客频繁利用CVE-2012-0158,这表明他们的目标未能及时应用安全更新,并且只要未修补漏洞,攻击者就会继续尝试滥用漏洞。

此外,攻击者还一直专注于利用因匆忙部署Office 365等云协作服务而造成的安全漏洞。

鉴于持续的COVID-19大流行带来的远程工作迁移,未修补的Pulse Secure VPN漏洞 (CVE-2019-11510)和Citrix VPN(CVE-2019-19781)也是去年最受欢迎的目标。

CISA建议尽快从停产软件过渡,这是缓解未修补的旧安全漏洞最为简单快捷的方法。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2020-08-25 10:55:59

漏洞跨站脚本XSS

2021-02-05 07:06:03

AI人工智能

2023-10-18 10:10:29

Node.js 21前端

2024-05-24 08:35:00

Angular 18版本更新

2021-07-26 05:24:53

漏洞网络安全网络攻击

2021-01-28 17:25:38

安全优先事项安全威胁网络安全

2022-06-30 14:24:04

软件弱点漏洞

2021-11-02 09:27:43

漏洞网络安全网络攻击

2021-12-08 10:19:06

Web开发数据

2017-10-24 06:12:50

机器学习数据集编程

2023-11-15 10:02:13

漏洞安全Kubernetes

2022-01-21 08:21:02

Web 安全前端程序员

2022-04-28 10:47:09

漏洞网络安全网络攻击

2018-04-11 23:26:44

2020-10-27 18:43:59

IT企业Gartner战略预测

2021-06-21 09:04:36

Windows 11系统设计

2015-03-10 10:39:08

2021-05-20 20:56:05

编程语言开发

2021-06-24 05:40:28

Windows 10操作系统微软

2010-05-06 15:38:10

Oracle实现SEL
点赞
收藏

51CTO技术栈公众号