MITRE發布的2020最危險軟體漏洞類型 Top 25 的列表

MITRE公布2020年最危險的25個軟體錯誤

軟體錯誤可以是軟體解決方案的程式碼,結構,實現或設計中發現的缺陷和漏洞,漏洞和其他類型的錯誤,可能會使正在運行的系統受到攻擊 ,其中以跨站點腳本(XSS)排名第一, 因為除易於發現和利用之外,攻擊者還可以在成功利用後,完全控制易受攻擊的系統,竊取敏感數據或發動阻斷服務攻擊(DoS)。

為了建立2020年列表,CWE團隊利用了美國國家標準技術研究院(NIST)國家漏洞數據庫(NVD)內的常見漏洞和暴露(CVE®)數據以及常見漏洞評分系統(CVSS)得分與每個CVE相關聯。將公式應用於數據,對每個弱點進行評分。MITER解釋說: “ NVD以易於消化的格式提供資訊,有助於推動以數據驅動的方式建立2020 CWE Top25。”

完整的MITRE–Top 25列表如下:

RankIDNameScore
[1]CWE-79Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)46.82
[2]CWE-787Out-of-bounds Write46.17
[3]CWE-20Improper Input Validation33.47
[4]CWE-125Out-of-bounds Read26.50
[5]CWE-119Improper Restriction of Operations within the Bounds of a Memory Buffer23.73
[6]CWE-89Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)20.69
[7]CWE-200Exposure of Sensitive Information to an Unauthorized Actor19.16
[8]CWE-416Use After Free18.87
[9]CWE-352Cross-Site Request Forgery (CSRF)17.29
[10]CWE-78Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)16.44
[11]CWE-190Integer Overflow or Wraparound15.81
[12]CWE-22Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)13.67
[13]CWE-476NULL Pointer Dereference8.35
[14]CWE-287Improper Authentication8.17
[15]CWE-434Unrestricted Upload of File with Dangerous Type7.38
[16]CWE-732Incorrect Permission Assignment for Critical Resource6.95
[17]CWE-94Improper Control of Generation of Code (‘Code Injection’)6.53
[18]CWE-522Insufficiently Protected Credentials5.49
[19]CWE-611Improper Restriction of XML External Entity Reference5.33
[20]CWE-798Use of Hard-coded Credentials5.19
[21]CWE-502Deserialization of Untrusted Data4.93
[22]CWE-269Improper Privilege Management4.87
[23]CWE-400Uncontrolled Resource Consumption4.14
[24]CWE-306Missing Authentication for Critical Function3.85
[25]CWE-862Missing Authorization3.77

另外,自2016年以來使用最多的10個漏洞

三個月前的5月12日,美國網路安全和基礎架構安全局(CISA)和聯邦調查局(FBI)還發布了2016年至2019年間最常被利用的十大安全漏洞列表。

根據兩家政府機構–美國網路安全和基礎架構安全局(CISA)和聯邦調查局(FBI)自2016年以來對網路攻擊的分析,惡意行為者最經常利用Microsoft的對象鏈接和嵌入(OLE)技術中的漏洞,其中Apache Struts網路框架是利用率第二高的技術。

CISA說: “在前10名中,來自中國,伊朗,朝鮮和俄羅斯的國家贊助的網路參與者中最常使用的三個漏洞是CVE-2017-11882,CVE-2017-0199和CVE-2012-0158,”。“所有這三個漏洞都與Microsoft的OLE技術有關。”

例如,從2018年12月開始,中國駭客客就頻繁利用CVE-2012-0158,這表明目標組織未針對此漏洞修補其系統,並且威脅參與者只要發現沒有修復就繼續嘗試濫用此安全漏洞。 。

CISA還表示,到2020年,由於COVID-19大流行突然轉移到遠端工作。攻擊者一直在專注於利用像Office 365這樣的雲端協同服務的快速部署,以及利用未修補的Pulse Secure VPN漏洞(CVE-2019-11510)和Citrix VPN(CVE-2019-19781)。

自2016年以來使用最廣泛的十大安全漏洞的完整列表列:

CVEAssociated Malware
CVE-2017-11882Loki, FormBook, Pony/FAREIT
CVE-2017-0199FINSPY, LATENTBOT, Dridex
CVE-2017-5638JexBoss
CVE-2012-0158Dridex
CVE-2019-0604China Chopper
CVE-2017-0143Multiple using the EternalSynergy and EternalBlue Exploit Kit
CVE-2018-4878DOGCALL
CVE-2017-8759FINSPY, FinFisher, WingBird
CVE-2015-1641Toshliph, Uwarrior
CVE-2018-7600Kitty

Source: https://cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html

https://www.bleepingcomputer.com/news/security/us-govt-shares-list-of-most-exploited-vulnerabilities-since-2016/