联邦调查局列出了前 30 个最常被利用的漏洞。很多都是岁数

美国、英国和澳大利亚的政府官员正在敦促公共和私营部门组织通过确保防火墙、VPN 和其他网络外围设备针对最广泛的漏洞进行修补来保护他们的网络。在周三发布的联合咨询报告中，美国联邦调查局和 CISA（网络安全和基础设施安全局）、澳大利亚网络安全中心和英国国家网络安全中心列出了前 30 名左右的最常被利用的漏洞。这些漏洞存在于 Citrix、Pulse Secure、Microsoft 和 Fortinet 等公司销售的大量设备或软件中。 “网络攻击者继续利用众所周知的——通常是过时的——软件漏洞来攻击广泛的目标集，包括全球的公共和私营部门组织，”该咨询指出。 “但是，世界各地的实体可以通过将可用补丁应用于其系统并实施集中式补丁管理系统来缓解本报告中列出的漏洞。”去年最有针对性的漏洞中有四个存在于 VPN、基于云的服务和其他允许人们远程访问雇主网络的设备中。尽管 COVID-19 大流行导致在家工作的员工数量激增，但许多 VPN 网关设备在 2020 年仍未打补丁。前四大漏洞的发现日期从 2018 年到 2020 年不等，这表明它的普遍性对于许多使用受影响设备的组织而言，他们拒绝应用安全补丁。安全漏洞包括 CVE-2019-19781，这是 Citrix 应用程序交付控制器（客户用来执行入站应用程序流量的负载平衡）中的远程代码执行错误； CVE 2019-11510，允许攻击者远程读取 Pulse Secure Pulse Connect Secure VPN 存储的敏感文件； CVE 2018-13379，Fortinet 制造的 VPN 中的路径遍历漏洞；以及 CVE 2020-5902，这是 F5 制造的 BIG-IP 高级交付控制器中的代码执行漏洞。这些漏洞——所有这些都从供应商那里获得了补丁——为无数严重的入侵提供了开放的载体。例如，根据美国政府 4 月发布的公告，为俄罗斯政府工作的黑客经常利用 CVE-2018-13379、CVE-2019-11510 和 CVE-2019-19781。同月，有消息称另一组黑客也在利用 CVE-2018-13379。在一个案例中，黑客允许勒索软件运营商控制属于一家欧洲制造商的两个生产设施。 CISA、ACSC、NCSC 和 FBI 评估全球公共和私人组织仍然容易受到利用这些 CVE 的危害。恶意网络攻击者很可能会继续使用较旧的已知漏洞，例如影响 Microsoft Office 的 CVE-2017-11882，只要它们仍然有效且系统未打补丁。攻击者对已知漏洞的使用使归因复杂化，降低了成本，并最大限度地降低了风险，因为他们没有投资开发专供其使用的零日漏洞，如果它被发现，他们就有失去的风险。官方还列出了今年发现的 13 个漏洞，这些漏洞也被大量利用。漏洞如下：

该公告提供了每个漏洞的技术细节、缓解指南和危害指标，以帮助组织确定它们是否易受攻击或已被黑客入侵。该公告还提供了锁定系统的指导。