2021年CISA和MITRE漏洞列表回顾
Table 1:Top Routinely Exploited CVEs in 2020
|
厂商 |
CVE |
Type |
|---|---|---|
|
Citrix |
CVE-2019-19781 |
arbitrary code execution |
|
Pulse |
CVE 2019-11510 |
arbitrary file reading |
|
Fortinet |
CVE 2018-13379 |
path traversal |
|
F5- Big IP |
CVE 2020-5902 |
remote code execution (RCE) |
|
MobileIron |
CVE 2020-15505 |
RCE |
|
Microsoft |
CVE-2017-11882 |
RCE |
|
Atlassian |
CVE-2019-11580 |
RCE |
|
Drupal |
CVE-2018-7600 |
RCE |
|
Telerik |
CVE 2019-18935 |
RCE |
|
Microsoft |
CVE-2019-0604 |
RCE |
|
Microsoft |
CVE-2020-0787 |
elevation of privilege |
|
Microsoft |
CVE-2020-1472 |
elevation of privilege |
2021 年 CWE 前 25 强弱点的简要列表,包括每个弱点的总分。
| Rank | ID | Name | Score | 2020 Rank Change |
|---|---|---|---|---|
| [1] | CWE-787 | Out-of-bounds Write | 65.93 | +1 |
| [2] | CWE-79 | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') | 46.84 | -1 |
| [3] | CWE-125 | Out-of-bounds Read | 24.9 | +1 |
| [4] | CWE-20 | Improper Input Validation | 20.47 | -1 |
| [5] | CWE-78 | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') | 19.55 | +5 |
| [6] | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') | 19.54 | 0 |
| [7] | CWE-416 | Use After Free | 16.83 | +1 |
| [8] | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') | 14.69 | +4 |
| [9] | CWE-352 | Cross-Site Request Forgery (CSRF) | 14.46 | 0 |
| [10] | CWE-434 | Unrestricted Upload of File with Dangerous Type | 8.45 | +5 |
| [11] | CWE-306 | Missing Authentication for Critical Function | 7.93 | +13 |
| [12] | CWE-190 | Integer Overflow or Wraparound | 7.12 | -1 |
| [13] | CWE-502 | Deserialization of Untrusted Data | 6.71 | +8 |
| [14] | CWE-287 | Improper Authentication | 6.58 | 0 |
| [15] | CWE-476 | NULL Pointer Dereference | 6.54 | -2 |
| [16] | CWE-798 | Use of Hard-coded Credentials | 6.27 | +4 |
| [17] | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer | 5.84 | -12 |
| [18] | CWE-862 | Missing Authorization | 5.47 | +7 |
| [19] | CWE-276 | Incorrect Default Permissions | 5.09 | +22 |
| [20] | CWE-200 | Exposure of Sensitive Information to an Unauthorized Actor | 4.74 | -13 |
| [21] | CWE-522 | Insufficiently Protected Credentials | 4.21 | -3 |
| [22] | CWE-732 | Incorrect Permission Assignment for Critical Resource | 4.2 | -6 |
| [23] | CWE-611 | Improper Restriction of XML External Entity Reference | 4.02 | -4 |
| [24] | CWE-918 | Server-Side Request Forgery (SSRF) | 3.78 | +3 |
| [25] | CWE-77 | Improper Neutralization of Special Elements used in a Command ('Command Injection') | 3.58 | +6 |
我们查看了这些列表以了解它们的异同,并分享我们的收获。请继续阅读以了解详细信息。
|
CISA 前 30 个最容易被利用的漏洞 |
MITRE 排名前 25 位的最易受攻击的软件错误 | |
| 起源 | CISA 的名单出现在 2021 年 7 月英国和澳大利亚当局发布的加入网络安全咨询中。 |
MITRE 的列表每隔几年发布一次——之前的版本分别是 2010、2011、2019 和 2020 年。 |
| 目的 |
CISA 列表旨在帮助减少对特定漏洞的利用,并帮助组织确定关键和高风险安全问题的优先级。 CISA 表示,他们的咨询“提供了 30 大漏洞的详细信息——主要是常见漏洞和暴露 (CVE)——在 2020 年经常被恶意网络攻击者利用,而在 2021 年迄今为止被广泛利用的漏洞。” |
MITRE 列表旨在帮助安全和 IT 专业人员确定可能对其组织安全构成最直接风险的某些类别的漏洞的优先级。 MITRE 表示,他们的列表“是一种宝贵的社区资源,可以帮助开发人员、测试人员和用户——以及项目经理、安全研究人员和教育工作者——深入了解最严重和当前的安全漏洞。” |
| 漏洞类型 |
CISA 列表侧重于在一些最广泛使用的软件产品中发现的特定漏洞(例如,CVE-2019-18935)。 该列表主要包括过去两年披露的漏洞。CISA 列表中最古老的安全漏洞可以追溯到 到 2017 年 - 影响 Microsoft Office 的远程代码执行 (RCE) 错误。 以下是 CISA 列表中最常被利用的五个漏洞:
CISA 列表中前 10 名的条目中有一半以上是远程代码执行漏洞。 |
MITRE 不关注 CVE,而是关注常见弱点枚举 (CWE),它们是软件弱点/漏洞的类型。 漏洞类型包括越界写入/内存损坏、越界读取、跨站点脚本等。 该列表主要包括过去两年披露的漏洞趋势。为了创建此列表,MITRE 分析了 2019 年和 2020 年国家漏洞数据库 (NVD) 中的漏洞数据,其中包含大约 32,500 个 CVE。 所包含的安全问题被认为特别危险,因为它们易于发现、影响大且普遍存在。以下是 MITRE 列表中排名前三的软件弱点:
|
| 缓解措施 |
遵循安全最佳实践(例如,确保使用最新补丁更新您的软件。) CISA 还建议根据已知漏洞对修复程序进行优先排序,实施自动软件更新,并创建集中的补丁管理系统。 |
对于每种漏洞类型,MITRE 根据用例提供特定的预防缓解措施。他们的指南适用于各种 IT 和安全专业人员,例如负责开发应用程序的人员和负责应用程序安全的人员。 |
CISA 要点
CISA 指出,最近远程工作的涌入可能影响了大多数组织抵御安全威胁的能力。在传统的工作环境中,组织的安全团队可能更容易解决这些威胁;正如 CISA 在其“主要发现”部分所承认的那样,远程工作会使补丁管理变得复杂。远程工作暴增还导致对最近披露的安全问题的更多利用。对云和 VPN 相关技术中漏洞的强调进一步说明了这种相关性,例如 CVE-2019-11510,这是 Pulse Connect Secure VPN 中的一个关键错误。另外值得注意的是远程代码执行漏洞的普遍存在,由于它们能够在世界任何地方被利用,这些漏洞对于攻击者来说尤其有吸引力。
最后,CISA 列表中的每个漏洞都有可用的补救措施。因此,对于所有情况,风险都是可以避免的。
MITRE 要点
MITRE 的 2021 年列表专注于特定的基础级别弱点,而不是过去列表重点关注的类级别弱点。MITRE 将类级别的弱点定义为“以非常抽象的方式描述的弱点,通常独立于任何特定语言或技术。” Base-level 弱点更具体,但不如 Variant 弱点那么具体,后者“与某种类型的产品有关”。基础级别的弱点是 Class 级别和 Variant 之间的中间地带。与主要关注变体弱点的 CISA 列表不同,MITRE 列表主要关注基础级别的弱点。2021 年的清单表明 MITRE 正试图提供更具可操作性的指导,因为“[他们] 相信基础级别的弱点比类级别的弱点对利益相关者的信息量更大。“大多数弱点代表软件中更难排除故障的领域。这与多年来列表的先前版本形成鲜明对比,在这些版本中,特定于实现的弱点更为常见。
MITRE 指出,最近的这一趋势可能表明“社区已经改进了与一些特定于实施的弱点相关的教育、工具和分析能力。”