MITRE分享2022年最危险的软件漏洞清单

MITRE分享了今年影响软件安全的25个最常见和最危险的漏洞。软件漏洞是在软件解决方案的代码、架构、实现或设计中发现的缺陷、错误、弱点或各种其他错误。他们可能会将正在运行的系统暴露在攻击之下，从而使威胁参与者能够控制受影响的设备、访问敏感信息或触发拒绝服务条件。

为了创建此列表，MITRE在分析了NIST的国家漏洞数据库(NVD)和CISA的已知利用漏洞(KEV)目录中的37,899个CVE的数据后，根据其普遍性和严重性对每个漏洞进行了评分。

“许多处理软件的专业人士会发现CWE Top25是一种实用且方便的资源，有助于降低风险，”MITRE说。

MITRE的前25个漏洞被认为是危险的，因为它们通常很容易发现，具有很大的影响，并且在过去两年发布的软件中很普遍。与过去几年一样，排名前25的继续向更具体的基础级别弱点过渡。

下表提供了对影响全球软件的最关键和当前的安全漏洞的洞察。

以下是2021年和2022年前25名榜单差异的直观表示。有三个跌落榜单，另有三个进入了今年的排行表。

2021年被利用最多的漏洞

4月，全球 络安全机构与FBI和NSA合作，发布了2021年威胁行为者经常利用的前15个漏洞列表。

正如联合公告中所揭示的那样，去年恶意行为者的攻击重点是新披露的影响面向互联 的系统的漏洞，包括电子邮件和虚拟专用 络(VPN)服务器。

这可能是因为恶意行为者和安全研究人员在2021年披露了大多数最常见的漏洞后两周内发布了概念证明(POC)漏洞利用。

然而，他们也将一些攻击集中在几年前修补的旧漏洞上，这表明一些组织即使在补丁可用后也无法更新他们的系统。

CISA和FBI还发布了2016年至2019年期间被利用最多的10个安全漏洞的列表。还与澳大利亚 络安全中心(ACSC)和英国国家 络安全部门（NCSC）合作发布了2020年最常被利用的漏洞列表。

11月，MITRE 还分享了去年困扰硬件的最危险的编程、设计和架构安全漏洞列表。列表提供了对 CWE 语料库中96个硬件条目中最受关注的十个硬件安全漏洞的洞察。

参考资源

1、https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html

2、https://www.bleepingcomputer.com/news/security/mitre-shares-this-years-list-of-most-dangerous-software-bugs/