MITRE分享2022年最危险的软件漏洞清单

MITRE分享了今年影响软件安全的25个最常见和最危险的漏洞。软件漏洞是在软件解决方案的代码、架构、实现或设计中发现的缺陷、错误、弱点或各种其他错误。他们可能会将正在运行的系统暴露在攻击之下，从而使威胁参与者能够控制受影响的设备、访问敏感信息或触发拒绝服务条件。

为了创建此列表，MITRE在分析了NIST的国家漏洞数据库(NVD)和CISA的已知利用漏洞(KEV)目录中的37,899个CVE的数据后，根据其普遍性和严重性对每个漏洞进行了评分。

“许多处理软件的专业人士会发现CWE Top25是一种实用且方便的资源，有助于降低风险，”MITRE说。

“这可能包括软件架构师、设计师、开发人员、测试人员、用户、项目经理、安全研究人员、教育工作者和标准开发组织(SDO)的贡献者。

MITRE的前25个漏洞被认为是危险的，因为它们通常很容易发现，具有很大的影响，并且在过去两年发布的软件中很普遍。与过去几年一样，排名前25的继续向更具体的基础级别弱点过渡。

下表提供了对影响全球软件的最关键和当前的安全漏洞的洞察。

以下是2021年和2022年前25名榜单差异的直观表示。有三个跌落榜单，另有三个进入了今年的排行表。

2021年被利用最多的漏洞

4月，全球网络安全机构与FBI和NSA合作，发布了2021年威胁行为者经常利用的前15个漏洞列表。

正如联合公告中所揭示的那样，去年恶意行为者的攻击重点是新披露的影响面向互联网的系统的漏洞，包括电子邮件和虚拟专用网络(VPN)服务器。

这可能是因为恶意行为者和安全研究人员在2021年披露了大多数最常见的漏洞后两周内发布了概念证明(POC)漏洞利用。

然而，他们也将一些攻击集中在几年前修补的旧漏洞上，这表明一些组织即使在补丁可用后也无法更新他们的系统。

CISA和FBI还发布了2016年至2019年期间被利用最多的10个安全漏洞的列表。还与澳大利亚网络安全中心(ACSC)和英国国家网络安全部门（NCSC）合作发布了2020年最常被利用的漏洞列表。

11月，MITRE 还分享了去年困扰硬件的最危险的编程、设计和架构安全漏洞列表。列表提供了对 CWE 语料库中96个硬件条目中最受关注的十个硬件安全漏洞的洞察。

参考资源

1、https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html

2、https://www.bleepingcomputer.com/news/security/mitre-shares-this-years-list-of-most-dangerous-software-bugs/

来源：大勇博士