聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

澳大利亚、英国和美国的网络安全机构联合发布安全公告，列出了2020年至2021年间遭利用次数最多的安全缺陷。

澳大利亚网络安全中心 (ACSC)、英国国家网络安全中心 (NCSC)、美国网络安全和基础设施安全局 (CISA) 和美国联邦调查局 (FBI) 联合发布安全公告指出，这些漏洞影响大量产品，如 VPN 设备、邮件服务器、web 企业应用和桌面软件的网络访问网关。

然而，该联合报告强调的重点在于，威胁行动者一般会利用最近发布的漏洞，说明漏洞一旦被公开，威胁行动者就会快速武器化安全缺陷。

安全公告并未根据漏洞的重要程度对它们进行排名，而是划分为两个清单。

第一份清单旨在说明2020年间利用频率最高的漏洞：

• CVE-2019-19781 – Citrix Netscaler 目录遍历漏洞

• CVE-2019-11510 – Pulse Secure Connect VPN 未认证任意文件泄露漏洞

• CVE-2018-13379 – Fortinet FortioOS Secure Socket Layer VPN 未认证目录遍历漏洞

• CVE-2020-5902 – F5 Big IP 流量管理用户接口远程代码执行漏洞

• CVE-2020-15505 – MobileIron Core & Connector 远程代码执行漏洞

• CVE-2020-0688 – Microsoft Exchange 内存损坏/远程代码执行漏洞

• CVE-2019-3396 – Atlassian Confluence Server Widget Connector 远程代码执行漏洞

• CVE-2017-11882 – Microsoft Office 内存损坏/远程代码执行漏洞

• CVE-2019-11580 – Atlassian Crowd and Crowd Data Center 远程代码执行漏洞

• CVE-2018-7600 – Drupal Core Multiple 远程代码执行漏洞

• CVE-2019-18935 – Telerik UI for ASP.NET AJAX 不安全的反序列化

• CVE-2019-0604 – Microsoft SharePoint 远程代码执行漏洞

• CVE-2020-0787 – Windows Background Intelligent Transfer Service 提权漏洞

• CVE-2020-1472 – Windows Netlogon 提权漏洞

第二份清单包括的漏洞是在2021年遭利用的漏洞，按厂商分类：

• Microsoft Exchange：CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 和 CVE-2021-27065

• Pulse Secure: CVE-2021-22893、CVE-2021-22894、CVE-2021-22899和CVE-2021-22900

• Accellion: CVE-2021-27101、CVE-2021-27102、CVE-2021-27103和CVE-2021-27104

• VMware: CVE-2021-21985

• Fortinet: CVE-2018-13379、CVE-2020-12812和CVE-2019-5591

虽然按照受威胁行动者的青睐程度以及攻击次数来划分漏洞不现实，但这些网络安全机构希望这两份清单可促使私有企业和政府组织机构能够多加留心、搜索其网络并修复易受上述清单中漏洞影响的任意设备。

CISA 网络安全执行助理主任 Eric Goldstein 表示，“协作是CISA工作的重要组成部分，今天我们和ACSC、NCSC 和 FBI 合作，强调说明对公共和私有组织机构应当优先打补丁的网络漏洞，将恶意人员利用的风险降到最低。“

推荐阅读

MITRE 发布2021 CWE Top 25 榜单

最受欢迎的 Top语言及其 Top 10漏洞

MITRE 发布 2020 CWE Top 25 榜单

原文链接

https://therecord.media/us-uk-australia-issue-joint-advisory-on-todays-top-exploited-vulnerabilities/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~