五眼联盟发布2022年最常遭利用的12个漏洞

发布于 作者:

五眼联盟发布2022年最常遭利用的12个漏洞

Sergiu Gatlan 代码卫士 2023-08-04 17:24

聚焦源代码安全,网罗国内外最新资讯!****

编译:代码卫士

由美国、澳大利亚、加拿大、新西兰和英国组成的五眼联盟协同 CISA、NAS和FBI联合发布2022年利用次数最高的12大漏洞。

联合安全公告提到,威胁行动者们越来越多地集中攻击过时软件的漏洞,而非最近披露的漏洞,尤其集中攻击未修复和暴露在互联网上的系统。

联合安全公告指出,“2022年,恶意网络行动者对老旧软件漏洞的利用频率高于对最近披露漏洞的利用,针对的是未修复的、面向互联网的系统。其中很多软件漏洞或漏洞利用链的PoC代码遭公开,可能更加利于更多恶意网络人员的利用。”

虽然截止到2022年年底,CVE计划发布了超过2.5万个新漏洞,但仅有5个漏洞列入12大漏洞清单。这12个漏洞如下:

其中,CVE-2018-13379位列第一,它是 Fortinet 在四年前即2019年5月修复的一个SSL VPN 漏洞,遭国家黑客组织用于攻击多个美国政府选举支持系统。

联合公告还说明了其它30个常用于攻陷组织机构的漏洞情况,其中包含安全团队如何减少相关攻击的信息。为确保系统安全并降低攻陷风险,五眼联盟督促厂商、设计人员、开发人员和终端用户组织机构执行公告中所列出的缓解措施。

6月,MITRE 发布了过去两年来影响最大的25个最流行和最危险的软件弱点。两年前,该组织机构也分享了最危险的程序、涉及和基础架构硬件安全漏洞清单。

CISA 和 FBI 还发布了2016至2019年期间遭利用的十大安全漏洞。NSA网络安全局技术总监 Neal Ziring 提到,“组织机构继续使用未修复软件和系统,易受网络攻击。老旧漏洞为这些网络攻击人员提供了访问敏感数据的低成本高影响的途径。”

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

在线阅读版:《2023中国软件供应链安全分析报告》全文

五眼联盟发布关于智慧城市网络安全指南,含供应链风险管理

五眼联盟:管理服务提供商遭受的供应链攻击不断增多

五眼联盟发布2021年最常遭利用的15个漏洞

谁比谁更坏?五眼联盟被曝入侵俄版谷歌 Yandex 系统

五眼联盟公布最常遭恶意利用的黑客工具

原文链接

https://www.bleepingcomputer.com/news/security/fbi-cisa-and-nsa-reveal-top-exploited-vulnerabilities-of-2022/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~