聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
联合安全公告提到,威胁行动者们越来越多地集中攻击过时软件的漏洞,而非最近披露的漏洞,尤其集中攻击未修复和暴露在互联网上的系统。
联合安全公告指出,“2022年,恶意网络行动者对老旧软件漏洞的利用频率高于对最近披露漏洞的利用,针对的是未修复的、面向互联网的系统。其中很多软件漏洞或漏洞利用链的PoC代码遭公开,可能更加利于更多恶意网络人员的利用。”
虽然截止到2022年年底,CVE计划发布了超过2.5万个新漏洞,但仅有5个漏洞列入12大漏洞清单。这12个漏洞如下:
其中,CVE-2018-13379位列第一,它是 Fortinet 在四年前即2019年5月修复的一个SSL VPN 漏洞,遭国家黑客组织用于攻击多个美国政府选举支持系统。
联合公告还说明了其它30个常用于攻陷组织机构的漏洞情况,其中包含安全团队如何减少相关攻击的信息。为确保系统安全并降低攻陷风险,五眼联盟督促厂商、设计人员、开发人员和终端用户组织机构执行公告中所列出的缓解措施。
6月,MITRE 发布了过去两年来影响最大的25个最流行和最危险的软件弱点。两年前,该组织机构也分享了最危险的程序、涉及和基础架构硬件安全漏洞清单。
CISA 和 FBI 还发布了2016至2019年期间遭利用的十大安全漏洞。NSA网络安全局技术总监 Neal Ziring 提到,“组织机构继续使用未修复软件和系统,易受网络攻击。老旧漏洞为这些网络攻击人员提供了访问敏感数据的低成本高影响的途径。”
https://www.bleepingcomputer.com/news/security/fbi-cisa-and-nsa-reveal-top-exploited-vulnerabilities-of-2022/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):五眼联盟发布2022年最常遭利用的12个漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论