MITRE 发布 2021 年网络安全漏洞 Top25 排行榜

近期，MITRE 公布了过去两年中对软件安全造成威胁的25个最常见和最危险漏洞。

软件漏洞即影响软件解决方案代码、架构、实现或设计的缺陷、bug、漏洞和其它多种错误，可能将其所运行的系统暴露到攻击活动中。

MITRE 根据美国国家漏洞数据库 (NVD)在2019年和2020年发布的约2.7万个 CVE 漏洞，形成了这份清单。

MITRE 结合CWE成为漏洞根因的频率以及所预计的利用危害，计算出了漏洞的排列顺序，以便客观地看待真实世界中出现的漏洞类型，以公开报告的漏洞而非主观调查和观点为基础进行分析，使得这一过程易于重复。

2021年漏洞Top25

MITRE 发布的2021年Top 25 漏洞，它们危险之处在于，通常易于发现、影响力较高，并且在过去两年内流行于所发布软件中。攻击者还可以利用这些漏洞完全控制易受攻击系统、窃取目标的敏感数据或触发拒绝服务。

遭利用次数最多的前10个漏洞

去年5月12日，美国网络安全和基础设施安全局 (CISA) 和 FBI 发布了2016年和2019年期间10个遭利用最严重的漏洞。CISA 指出，“在这前10个漏洞中，遭国家黑客组织利用最多的是 CVE-2017-11882、CVE-2017-0199和 CVE-2012-0158。所有这些漏洞都和微软的 OLE 技术相关。

攻击者还专注于利用由匆忙部署云协作服务如 Office 365而引发的安全间隔。未修复的 Pulse Secure VPN 漏洞 (CVE-2019-11510) 和 Citrix VPN (CVE-2019-19781) 在去年受疫情影响也是备受黑客青睐的目标。

CISA 建议尽快避免使用到达生命周期的软件，这是缓解老旧未修复安全漏洞最容易也最快速的方法。

自2016年以来，遭利用的前10个安全缺陷如下：