2021年CISA和MITRE漏洞列表回顾

去年夏天，美国联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA) 与英国和澳大利亚的部队合作，发布了 2020 年最常被利用的 30 个漏洞列表（以及一些在 2021 年被利用的漏洞）。大约在同一时间，MITRE 更新了 25 个最常见和最危险的软件漏洞列表。这两个列表创建是为帮助组织和个人保护自己免受安全威胁提供了参考。

我们根据国外网站的文章，一同了解这些列表的异同。

Table 1:Top Routinely Exploited CVEs in 2020

厂商	CVE	Type
Citrix	CVE-2019-19781	arbitrary code execution
Pulse	CVE 2019-11510	arbitrary file reading
Fortinet	CVE 2018-13379	path traversal
F5- Big IP	CVE 2020-5902	remote code execution (RCE)
MobileIron	CVE 2020-15505	RCE
Microsoft	CVE-2017-11882	RCE
Atlassian	CVE-2019-11580	RCE
Drupal	CVE-2018-7600	RCE
Telerik	CVE 2019-18935	RCE
Microsoft	CVE-2019-0604	RCE
Microsoft	CVE-2020-0787	elevation of privilege
Microsoft	CVE-2020-1472	elevation of privilege

2021 年 CWE 前 25 强弱点的简要列表，包括每个弱点的总分。

Rank	ID	Name	Score	2020 Rank Change
[1]	CWE-787	Out-of-bounds Write	65.93	+1
[2]	CWE-79	Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')	46.84	-1
[3]	CWE-125	Out-of-bounds Read	24.9	+1
[4]	CWE-20	Improper Input Validation	20.47	-1
[5]	CWE-78	Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')	19.55	+5
[6]	CWE-89	Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')	19.54	0
[7]	CWE-416	Use After Free	16.83	+1
[8]	CWE-22	Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')	14.69	+4
[9]	CWE-352	Cross-Site Request Forgery (CSRF)	14.46	0
[10]	CWE-434	Unrestricted Upload of File with Dangerous Type	8.45	+5
[11]	CWE-306	Missing Authentication for Critical Function	7.93	+13
[12]	CWE-190	Integer Overflow or Wraparound	7.12	-1
[13]	CWE-502	Deserialization of Untrusted Data	6.71	+8
[14]	CWE-287	Improper Authentication	6.58	0
[15]	CWE-476	NULL Pointer Dereference	6.54	-2
[16]	CWE-798	Use of Hard-coded Credentials	6.27	+4
[17]	CWE-119	Improper Restriction of Operations within the Bounds of a Memory Buffer	5.84	-12
[18]	CWE-862	Missing Authorization	5.47	+7
[19]	CWE-276	Incorrect Default Permissions	5.09	+22
[20]	CWE-200	Exposure of Sensitive Information to an Unauthorized Actor	4.74	-13
[21]	CWE-522	Insufficiently Protected Credentials	4.21	-3
[22]	CWE-732	Incorrect Permission Assignment for Critical Resource	4.2	-6
[23]	CWE-611	Improper Restriction of XML External Entity Reference	4.02	-4
[24]	CWE-918	Server-Side Request Forgery (SSRF)	3.78	+3
[25]	CWE-77	Improper Neutralization of Special Elements used in a Command ('Command Injection')	3.58	+6

我们查看了这些列表以了解它们的异同，并分享我们的收获。请继续阅读以了解详细信息。

	CISA 前 30 个最容易被利用的漏洞	MITRE 排名前 25 位的最易受攻击的软件错误
起源	CISA 的名单出现在 2021 年 7 月英国和澳大利亚当局发布的加入网络安全咨询中。	MITRE 的列表每隔几年发布一次——之前的版本分别是 2010、2011、2019 和 2020 年。
目的	CISA 列表旨在帮助减少对特定漏洞的利用，并帮助组织确定关键和高风险安全问题的优先级。 CISA 表示，他们的咨询“提供了 30 大漏洞的详细信息——主要是常见漏洞和暴露 (CVE)——在 2020 年经常被恶意网络攻击者利用，而在 2021 年迄今为止被广泛利用的漏洞。”	MITRE 列表旨在帮助安全和 IT 专业人员确定可能对其组织安全构成最直接风险的某些类别的漏洞的优先级。 MITRE 表示，他们的列表“是一种宝贵的社区资源，可以帮助开发人员、测试人员和用户——以及项目经理、安全研究人员和教育工作者——深入了解最严重和当前的安全漏洞。”
漏洞类型	CISA 列表侧重于在一些最广泛使用的软件产品中发现的特定漏洞（例如，CVE-2019-18935）。该列表主要包括过去两年披露的漏洞。CISA 列表中最古老的安全漏洞可以追溯到到 2017 年 - 影响 Microsoft Office 的远程代码执行 (RCE) 错误。以下是 CISA 列表中最常被利用的五个漏洞： Citrix NetScaler 任意代码执行 (CVE-2019-19781) Pulse Connect 安全 VPN 任意文件读取 (CVE-2019-11510) Fortinet FortiOS SSL VPN 路径遍历 (CVE-2018-13379) F5 大 IP 流量管理用户界面远程代码执行 (CVE-2020-5902) MobileIron 远程代码执行 (CVE-2020-15505) CISA 列表中前 10 名的条目中有一半以上是远程代码执行漏洞。	MITRE 不关注 CVE，而是关注常见弱点枚举 (CWE)，它们是软件弱点/漏洞的类型。漏洞类型包括越界写入/内存损坏、越界读取、跨站点脚本等。该列表主要包括过去两年披露的漏洞趋势。为了创建此列表，MITRE 分析了 2019 年和 2020 年国家漏洞数据库 (NVD) 中的漏洞数据，其中包含大约 32,500 个 CVE。所包含的安全问题被认为特别危险，因为它们易于发现、影响大且普遍存在。以下是 MITRE 列表中排名前三的软件弱点： CWE-787 – 越界写入，也就是内存损坏。越界写入意味着软件写入“越界” - 超过预期缓冲区的末尾或开头之前。这可能会导致执行未经授权的代码或命令、拒绝服务 (DoS) 和内存修改。 CWE-79 – 网页生成期间输入的不当中和，更广为人知的是跨站点脚本 (XSS)。在这种情况下，用户将恶意代码注入网页。另一个用户的浏览器可以在导航到网页时执行恶意代码。XSS 可能导致访问应用程序数据、执行未经授权的代码或命令等。 CWE-125 – 越界读取。最后，这个弱点意味着软件正在读取预期缓冲区的结尾或开始之前。这可能导致攻击者从内存中的其他位置读取敏感信息（例如，许可证密钥）。它还可能导致应用程序崩溃，从而导致 DoS。
缓解措施	遵循安全最佳实践（例如，确保使用最新补丁更新您的软件。） CISA 还建议根据已知漏洞对修复程序进行优先排序，实施自动软件更新，并创建集中的补丁管理系统。	对于每种漏洞类型，MITRE 根据用例提供特定的预防缓解措施。他们的指南适用于各种 IT 和安全专业人员，例如负责开发应用程序的人员和负责应用程序安全的人员。

CISA 要点

CISA 指出，最近远程工作的涌入可能影响了大多数组织抵御安全威胁的能力。在传统的工作环境中，组织的安全团队可能更容易解决这些威胁；正如 CISA 在其“主要发现”部分所承认的那样，远程工作会使补丁管理变得复杂。远程工作暴增还导致对最近披露的安全问题的更多利用。对云和 VPN 相关技术中漏洞的强调进一步说明了这种相关性，例如 CVE-2019-11510，这是 Pulse Connect Secure VPN 中的一个关键错误。另外值得注意的是远程代码执行漏洞的普遍存在，由于它们能够在世界任何地方被利用，这些漏洞对于攻击者来说尤其有吸引力。

最后，CISA 列表中的每个漏洞都有可用的补救措施。因此，对于所有情况，风险都是可以避免的。

MITRE 要点

MITRE 的 2021 年列表专注于特定的基础级别弱点，而不是过去列表重点关注的类级别弱点。MITRE 将类级别的弱点定义为“以非常抽象的方式描述的弱点，通常独立于任何特定语言或技术。” Base-level 弱点更具体，但不如 Variant 弱点那么具体，后者“与某种类型的产品有关”。基础级别的弱点是 Class 级别和 Variant 之间的中间地带。与主要关注变体弱点的 CISA 列表不同，MITRE 列表主要关注基础级别的弱点。2021 年的清单表明 MITRE 正试图提供更具可操作性的指导，因为“[他们] 相信基础级别的弱点比类级别的弱点对利益相关者的信息量更大。“大多数弱点代表软件中更难排除故障的领域。这与多年来列表的先前版本形成鲜明对比，在这些版本中，特定于实现的弱点更为常见。

MITRE 指出，最近的这一趋势可能表明“社区已经改进了与一些特定于实施的弱点相关的教育、工具和分析能力。”

网络安全等级保护：等级保护对象的定级过程

网络安全等级保护：等级保护对象的定级与保护

网络安全等级保护：等级保护中的密码技术

网络安全等级保护：网络产品和服务安全通用要求之基本级安全通用要求

网络安全等级保护：政务计算机终端核心配置规范思维导图

网络安全等级保护：网络安全等级保护基本技术

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。