MITRE 更新前 25 个最危险的软件错误列表

MITRE 分享了过去两年中困扰软件的最常见和最危险的 25 个漏洞列表。软件弱点是影响软件解决方案的代码、架构、实现或设计的缺陷、错误、漏洞和各种其他类型的错误，可能会使它运行的系统受到攻击。 MITRE 使用从国家漏洞数据库 (NVD) 获得的 2019 年和 2020 年常见漏洞和暴露 (CVE) 数据（大约 27,000 个 CVE）制定了前 25 名。 MITRE 解释说：“评分公式用于计算弱点的排序顺序，该顺序将 CWE 是漏洞根本原因的频率与其利用的预计严重程度相结合。” “这种方法提供了对当前在现实世界中看到的漏洞的客观观察，创建了基于公开报告的漏洞而不是主观调查和意见的分析严谨性基础，并使该过程易于重复。” MITRE 的 2021 年 25 大漏洞是危险的，因为它们通常很容易发现，影响很大，并且在过去两年发布的软件中很普遍它们也可能被攻击者滥用以可能完全控制易受攻击的系统，窃取目标敏感数据，或在成功利用后触发拒绝服务 (DoS)。

下面的列表为整个社区提供了对最关键和当前软件安全弱点的洞察。去年 5 月 12 日，网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 还公布了 2016 年至 2019 年间被利用最多的前 10 名安全漏洞列表。“在前 10 名中，来自中国、伊朗、朝鲜和俄罗斯的国家支持的网络参与者最常使用的三个漏洞是 CVE-2017-11882、CVE-2017-0199 和 CVE-2012-0158，”CISA 说。 “所有这三个漏洞都与微软的 OLE 技术有关。”从 2018 年 12 月开始，中国黑客频繁利用 CVE-2012-0158，这表明他们的目标未能及时应用安全更新，并且只要未修补漏洞，攻击者就会继续尝试滥用漏洞。攻击者还一直专注于利用 Office 365 等云协作服务的仓促部署造成的安全漏洞。 Unpatched Pulse Secure VPN 漏洞 (CVE-2019-11510) 和 Citrix VPN (CVE-2019-19781) 也是最近最受青睐的目标一年后，由于持续的 COVID-19 大流行而转向远程工作。 CISA 建议尽快从停产软件过渡，这是缓解未修补的旧安全漏洞的最简单快捷的方法。

下面提供了自 2016 年以来最常被利用的 10 个安全漏洞的完整列表，并提供了指向其 NVD 条目的直接链接。