5月12日，美國國土安全部(DHS)網絡安全和基礎設施安全機構(CISA，Cybersecurity和Infrastructure Security Agency)和FBI聯合發布了一份關于《2016年-2019年被利用最多的10個軟件安全漏洞》的報告，督促相關機構應用必要的安全更新來預防當前常見的一些攻擊方式。

[[326371]]

被利用比較多的10個漏洞

報告指出過去4年里(2016年-2019年)被利用最多的10個安全漏洞是：

• CVE-2017-11882：影響Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016產品
• CVE-2017-0199：影響Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016, Vista SP2, Server 2008 SP2, Windows 7 SP1, Windows 8.1
• CVE-2017-5638：影響Apache Struts 2 2.3.32之前的 2.3.x版本和2.5.10.1之前的2.5.x版本
• CVE-2012-0158：影響Microsoft Office 2003 SP3, 2007 SP2和SP3, 2010 Gold和SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4,和2008 SP2, SP3,和R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2和2009 Gold和R2; Visual FoxPro 8.0 SP1和9.0 SP2;Visual Basic 6.0
• CVE-2019-0604：影響Microsoft SharePoint
• CVE-2017-0143：影響Microsoft Windows Vista SP2，Windows Server 2008 SP2、R2 SP1， Windows 7 SP1、Windows 8.1、Windows Server 2012 Gold和R2，Windows RT 8.1和Windows 10 Gold、1511和1607版本， Windows Server 2016
• CVE-2018-4878：影響Adobe Flash Player 28.0.0.161之前版本
• CVE-2017-8759：影響Microsoft .NET Framework 2.0、3.5、3.5.1、4.5.2、4.6、4.6.1、4.6.2 和4.7版本
• CVE-2015-1641：影響Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word for Mac 2011, Office Compatibility Pack SP3, Word Automation Services on SharePoint Server 2010 SP2 和2013 SP1, Office Web Apps Server 2010 SP2和2013 SP1
• CVE-2018-7600：影響Drupal 7.58之前版本、8.3.9之前的8.x 版本、8.4.6之前的8.4.x和8.5.1之前的8.5.x 版本

漏洞分布

美國政府分析發現，伊朗、朝鮮和俄羅斯利用比較多的3個漏洞是：

• CVE-2017-11882
• CVE-2017-0199
• CVE-2012-0158

這3個漏洞都是微軟Office Object Linking和Embedding (OLE)中的漏洞。OLE允許文檔中含有來自其他應用中嵌入的內容，比如excel表格。2019年初的一項研究也表明，攻擊者利用最多的漏洞存在于微軟和Adobe Flash產品中，可能是因為這些產品被廣泛引用。排名第二的是web框架 Apache Struts。

2020年漏洞利用情況

除了2016年到2019年被利用比較多的10個漏洞外，美國政府還報告了2020年被利用比較多的一些漏洞以及網絡攻擊趨勢。

1、VPN漏洞。今年以來，惡意網絡攻擊者開始不斷攻擊未修復的VPN漏洞：

• CVE-2019-19781：Citrix VPN應用中的任意代碼執行漏洞
• CVE-2019-11510：Pulse Secure VPN服務器中的一個任意文件讀漏洞

2、office 365漏洞。2020年3月以來遠程辦公軟件使用量激增。攻擊者開始利用office 365軟件的安全漏洞，對相關安全配置進行掃描和發起攻擊。

3、勒索軟件攻擊。員工對社會工程攻擊了解不足、缺乏系統恢復和應急方案，2020年企業遭受勒索軟件攻擊可能會成為一個新的趨勢。