![MITRE 分享了 2024 年最危险的 25 个软件漏洞]( "MITRE 分享了 2024 年最危险的 25 个软件漏洞")
MITRE 分享了今年最常见、最危险的 25 大软件漏洞列表,涵盖了 2023 年 6 月至 2024 年 6 月期间披露的 31,000 多个漏洞。
软件漏洞是指软件代码、架构、实现或设计中发现的缺陷、错误、漏洞和错误。
攻击者可以利用它们来破坏运行有漏洞软件的系统,从而使他们能够控制受影响的设备并访问敏感数据或触发拒绝服务攻击。
MITRE今天表示:“这些漏洞通常很容易被发现和利用,可能会导致可利用的漏洞,让对手完全接管系统、窃取数据或阻止应用程序运行。”
“揭示这些漏洞的根本原因可以为投资、政策和实践提供强有力的指导,以防止这些漏洞再发生——这对行业和政府利益相关者都有利。”
为了制定今年的排名,MITRE 分析了 2023 年至 2024 年报告的 31,770 条 CVE 记录,其中列出了“可从重新映射分析中受益”的漏洞,并根据漏洞的严重性和频率对每个漏洞进行了评分,重点关注了添加到 CISA已知被利用漏洞 (KEV)目录中的安全漏洞。
CISA今天补充道:“这份年度名单列出了攻击者经常利用来危害系统、窃取敏感数据或破坏基本服务的最关键的软件漏洞。”
“强烈建议各组织查看此列表并将其用于制定软件安全策略。在开发和采购过程中优先考虑这些漏洞有助于防止在软件研发生命周期中出现该漏洞。”
![MITRE 分享了 2024 年最危险的 25 个软件漏洞]( "MITRE 分享了 2024 年最危险的 25 个软件漏洞")
CISA还定期发布“设计安全”警报,强调尽管有可用和有效的缓解措施,但尚未从软件中消除的众所周知和有记录的漏洞具有普遍性。
其中一些是为了应对持续的恶意活动而发布的,例如 7 月份的警报,要求供应商消除路径操作系统命令注入漏洞,这些漏洞被某国“Velvet Ant state”国家黑客在最近针对Cisco、Palo Alto和Ivanti网络边缘设备的攻击中利用。
在 2024 年的 3 月和 5 月,该网络安全机构发布了另外两份“安全设计”警告,敦促技术高管和软件开发人员防止其产品和代码中出现路径遍历和SQL注入(SQLi)漏洞。
CISA 还敦促技术供应商停止运送带有默认密码的软件和设备,并敦促小型办公室/家庭办公室 (SOHO) 路由器制造商保护他们免受Volt Typhoon 攻击。
上周,美国联邦调查局、美国国家安全局和五眼联盟网络安全机构公布了去年最常被利用的 15 大安全漏洞列表,并警告攻击者重点攻击零日漏洞(已披露但尚未修补的安全漏洞)。
![MITRE 分享了 2024 年最危险的 25 个软件漏洞]( "MITRE 分享了 2024 年最危险的 25 个软件漏洞")
他们警告说:“2023 年,大多数最常被利用的漏洞最初都是以零日漏洞的形式被利用的,这比 2022 年有所增加,当时不到一半的最常被利用的漏洞是以零日漏洞的形式被利用的。”
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):MITRE 分享了 2024 年最危险的 25 个软件漏洞
评论