MITRE公佈2022 年“CWE 前 25 名”

MITRE分享了影響軟體的25個常見和危險的缺陷。

軟體弱點是指在軟體解決方案的程式碼、體系結構、實現或設計中發現的缺陷、bug、漏洞或各種其他錯誤。

它們可能會使正在執行的系統遭受攻擊，從而使威脅行為者能夠控制受影響的裝置，獲取敏感資訊，或觸發拒絕服務條件。

為了建立此列表，MITRE在分析了NIST的國家漏洞資料庫 (NVD)和CISA的已知利用漏洞 (KEV) 目錄中的37,899個CVE的資料後，根據其普遍性和嚴重性對每個漏洞進行了評分。

MITRE表示:“許多處理軟體的專業人士會發現，CWE Top 25是一個實用而方便的資源，有助於降低風險。”

“這可能包括軟體架構師、設計師、開發人員、測試人員、使用者、專案經理、安全研究人員、教育工作者和標準開發組織 (SDO) 的貢獻者。

MITRE的前25個錯誤被認為是危險的，因為它們通常很容易發現，具有很大的影響，並且在最近兩年釋出的軟體中非常普遍。

下表提供了對影響全球軟體的關鍵和當前安全漏洞的洞察。

2021年被利用最多的漏洞

4月，全球網路安全機構與FBI和NSA合作，釋出了2021年威脅行為者經常利用的前15個漏洞列表。

正如聯合諮詢報告中透露的那樣，惡意攻擊者去年集中攻擊了影響面向網際網路系統的新披露的漏洞，包括電子郵件和虛擬專用網(VPN)伺服器。

這可能是因為惡意行為者和安全研究人員在2021年大多數主要漏洞被披露後的兩週內就釋出了概念證明(POC)漏洞。

然而，他們也把攻擊的重點放在幾年前打過補丁的舊漏洞上，這表明即使有了補丁，一些組織也無法更新他們的系統。

文章來源：

https://www.bleepingcomputer.com/news/security/mitre-shares-this-years-list-of-most-dangerous-software-bugs/