《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 美英澳聯(lián)合發(fā)布2020-2021年遭利用最多的30個(gè)漏洞

美英澳聯(lián)合發(fā)布2020-2021年遭利用最多的30個(gè)漏洞

2021-07-30
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 漏洞 網(wǎng)絡(luò)安全

  這些漏洞影響大量產(chǎn)品,如VPN設(shè)備、郵件服務(wù)器、企業(yè)Web應(yīng)用和桌面軟件的網(wǎng)絡(luò)訪問網(wǎng)關(guān)。

  澳大利亞、英國和美國的網(wǎng)絡(luò)安全機(jī)構(gòu)聯(lián)合發(fā)布安全公告,列出了2020年至2021年間遭利用次數(shù)最多的安全缺陷。

  澳大利亞網(wǎng)絡(luò)安全中心 (ACSC)、英國國家網(wǎng)絡(luò)安全中心 (NCSC)、美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 和美國聯(lián)邦調(diào)查局 (FBI) 聯(lián)合發(fā)布安全公告指出,這些漏洞影響大量產(chǎn)品,如 VPN 設(shè)備、郵件服務(wù)器、企業(yè)Web應(yīng)用和桌面軟件的網(wǎng)絡(luò)訪問網(wǎng)關(guān)。

  然而,該聯(lián)合報(bào)告強(qiáng)調(diào)的重點(diǎn)在于,威脅行動(dòng)者一般會(huì)利用最近發(fā)布的漏洞,說明漏洞一旦被公開,威脅行動(dòng)者就會(huì)快速武器化安全缺陷。

  安全公告并未根據(jù)漏洞的重要程度對(duì)它們進(jìn)行排名,而是劃分為兩個(gè)清單。

  第一份清單旨在說明2020年間利用頻率最高的漏洞:

  CVE-2019-19781 – Citrix Netscaler 目錄遍歷漏洞

  CVE-2019-11510 – Pulse Secure Connect VPN 未認(rèn)證任意文件泄露漏洞

  CVE-2018-13379 – Fortinet FortioOS Secure Socket Layer VPN 未認(rèn)證目錄遍歷漏洞

  CVE-2020-5902 – F5 Big IP 流量管理用戶接口遠(yuǎn)程代碼執(zhí)行漏洞

  CVE-2020-15505 – MobileIron Core & Connector 遠(yuǎn)程代碼執(zhí)行漏洞

  CVE-2020-0688 – Microsoft Exchange 內(nèi)存損壞/遠(yuǎn)程代碼執(zhí)行漏洞

  CVE-2019-3396 – Atlassian Confluence Server Widget Connector 遠(yuǎn)程代碼執(zhí)行漏洞

  CVE-2017-11882 – Microsoft Office 內(nèi)存損壞/遠(yuǎn)程代碼執(zhí)行漏洞

  CVE-2019-11580 – Atlassian Crowd and Crowd Data Center 遠(yuǎn)程代碼執(zhí)行漏洞

  CVE-2018-7600 – Drupal Core Multiple 遠(yuǎn)程代碼執(zhí)行漏洞

  CVE-2019-18935 – Telerik UI for ASP.NET AJAX 不安全的反序列化

  CVE-2019-0604 – Microsoft SharePoint 遠(yuǎn)程代碼執(zhí)行漏洞

  CVE-2020-0787 – Windows Background Intelligent Transfer Service 提權(quán)漏洞

  CVE-2020-1472 – Windows Netlogon 提權(quán)漏洞

  第二份清單包括的漏洞是在2021年遭利用的漏洞,按廠商分類:

  Microsoft Exchange:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 和 CVE-2021-27065

  Pulse Secure:CVE-2021-22893、CVE-2021-22894、CVE-2021-22899和CVE-2021-22900

  Accellion:CVE-2021-27101、CVE-2021-27102、CVE-2021-27103和CVE-2021-27104

  VMware:CVE-2021-21985

  Fortinet:CVE-2018-13379、CVE-2020-12812和CVE-2019-5591

  雖然按照受威脅行動(dòng)者的青睞程度以及攻擊次數(shù)來劃分漏洞不現(xiàn)實(shí),但這些網(wǎng)絡(luò)安全機(jī)構(gòu)希望這兩份清單可促使私有企業(yè)和政府組織機(jī)構(gòu)能夠多加留心、搜索其網(wǎng)絡(luò)并修復(fù)易受上述清單中漏洞影響的任意設(shè)備。

  CISA 網(wǎng)絡(luò)安全執(zhí)行助理主任 Eric Goldstein 表示,“協(xié)作是CISA工作的重要組成部分,今天我們和ACSC、NCSC 和 FBI 合作,強(qiáng)調(diào)說明對(duì)公共和私有組織機(jī)構(gòu)應(yīng)當(dāng)優(yōu)先打補(bǔ)丁的網(wǎng)絡(luò)漏洞,將惡意人員利用的風(fēng)險(xiǎn)降到最低?!?/p>




微信圖片_20210517164139.jpg




本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。