信息來(lái)源：Freebuf

近年來(lái)，網(wǎng)絡(luò)安全逐漸為人們重視，安全形勢(shì)愈演愈烈，攻防交戰(zhàn)持續(xù)推進(jìn)。

今日，網(wǎng)絡(luò)安全和基礎(chǔ)架構(gòu)安全局（CISA）和聯(lián)邦調(diào)查局（FBI）發(fā)布2016年至2019年以來(lái)最常被利用的十大安全漏洞。CISA和FBI通過(guò)國(guó)家網(wǎng)絡(luò)意識(shí)系統(tǒng)發(fā)布了AA20-133A警報(bào)，讓公共和私營(yíng)部門組織更容易確定企業(yè)內(nèi)部補(bǔ)丁的優(yōu)先級(jí)。

報(bào)告提及的十大漏洞包含CVE-2017-11882，CVE-2017-0199，CVE-2017-5638，CVE-2012-0158 ，CVE-2019-0604，CVE-2017-0143，CVE-2018-4878，CVE-2017-8759，CVE-2015-1641和CVE-2018-7600。

根據(jù)美國(guó)政府的技術(shù)分析，攻擊者最經(jīng)常利用Microsoft的對(duì)象鏈接和嵌入（OLE）技術(shù)中的漏洞。OLE允許文檔包含來(lái)自其他應(yīng)用程序（如電子表格）的嵌入內(nèi)容。在OLE之后，第二大易受攻擊的技術(shù)是Apache Struts的Web框架。 

在前10個(gè)漏洞中，來(lái)自伊朗、朝鮮和俄羅斯的國(guó)家黑客中最常利用的三個(gè)漏洞是CVE-2017-11882、CVE-2017-0199和CVE-2012-0158。其中，這三個(gè)漏洞均與Microsoft的OLE技術(shù)有關(guān)。

漏洞補(bǔ)丁更新需要安全技術(shù)人員能夠保持系統(tǒng)持續(xù)運(yùn)行，并且補(bǔ)丁能與其他軟件相兼容。美國(guó)在2019年初發(fā)布的一項(xiàng)行業(yè)研究發(fā)現(xiàn)，攻擊者最常利用的漏洞存在于Microsoft和Adobe Flash產(chǎn)品中，這可能是由于某些技術(shù)使用所致。該行業(yè)研究報(bào)告中被利用最多的10個(gè)漏洞中的4個(gè)也出現(xiàn)在該警報(bào)列表中。

報(bào)告中還提及針對(duì)每個(gè)漏洞做出相應(yīng)的預(yù)防，盡可能減小漏洞利用的風(fēng)險(xiǎn)和損失。

CVE-2017-11882

漏洞產(chǎn)品：Microsoft Office 2007 SP3 / 2010 SP2 / 2013 SP1 / 2016產(chǎn)品

相關(guān)惡意軟件：Loki，F(xiàn)ormBook，Pony / FAREIT

防范措施：使用最新的安全補(bǔ)丁更新受影響的Microsoft產(chǎn)品

更多詳細(xì)信息：https://nvd.nist.gov/vuln/detail/CVE-2017-11882

CVE-2017-0199

漏洞產(chǎn)品：Microsoft Office 2007 SP3 / 2010 SP2 / 2013 SP1 / 2016，Vista SP2，Server 2008 SP2，Windows 7 SP1，Windows 8.1

相關(guān)惡意軟件：FINSPY，LATENTBOT，Dridex

防范措施：使用最新的安全補(bǔ)丁更新受影響的Microsoft產(chǎn)品

更多詳細(xì)信息：https://nvd.nist.gov/vuln/detail/CVE-2017-0199

CVE-2017-5638

漏洞產(chǎn)品：Apache Struts 2 2.3.x之前的2.3.x和2.5.10.1之前的2.5.x

相關(guān)惡意軟件：JexBoss

防范措施：升級(jí)到Struts 2.3.32或Struts 2.5.10.1

更多詳情：

https://www.us-cert.gov/ncas/analysis-reports/AR18-312A

https://nvd.nist.gov/vuln/detail/CVE-2017-5638

CVE-2012-0158

漏洞產(chǎn)品：Microsoft Office 2003 SP3、2007 SP2和SP3，以及2010 Gold和SP1；Office 2003 Web組件SP3；SQL Server 2000 SP4、2005 SP4和2008 SP2，SP3和R2; BizTalk Server 2002 SP1；Commerce Server 2002 SP4、2007 SP2和2009 Gold和R2; Visual FoxPro 8.0 SP1和9.0 SP2; 和Visual Basic 6.0

相關(guān)惡意軟件：Dridex

防范措施：使用最新的安全補(bǔ)丁更新受影響的Microsoft產(chǎn)品

更多詳情：

https://www.us-cert.gov/ncas/alerts/aa19-339a

https://nvd.nist.gov/vuln/detail/CVE-2012-0158

CVE-2019-0604

漏洞產(chǎn)品：Microsoft SharePoint

相關(guān)惡意軟件：中國(guó)菜刀

防范措施：使用最新的安全補(bǔ)丁更新受影響的Microsoft產(chǎn)品

更多詳細(xì)信息：http://nvd.nist.gov/vuln/detail/CVE-2019-0604

CVE-2017-0143

漏洞產(chǎn)品：Microsoft Windows Vista SP2；Windows Server 2008 SP2和R2 SP1; Windows 7 SP1；Windows 8.1; Windows Server 2012 Gold和R2；Windows RT 8.1；Windows 10 Gold，1511和1607；以及 和Windows Server 2016

關(guān)聯(lián)的惡意軟件：使用EternalSynergy和EternalBlue Exploit Kit進(jìn)行多次攻擊

防范措施：使用最新的安全補(bǔ)丁更新受影響的Microsoft產(chǎn)品

更多詳細(xì)信息：https://nvd.nist.gov/vuln/detail/CVE-2017-0143

CVE-2018-4878

漏洞產(chǎn)品：28.0.0.161之前的Adobe Flash Player

關(guān)聯(lián)的惡意軟件：DOGCALL

防范措施：將Adobe Flash Player安裝更新到最新版本

更多詳細(xì)信息：https://nvd.nist.gov/vuln/detail/CVE-2018-4878

CVE-2017-8759

漏洞產(chǎn)品：Microsoft .NET Framework 2.0、3.5、3.5.1、4.5.2、4.6、4.6.1、4.6.2和4.7

相關(guān)惡意軟件：FINSPY，F(xiàn)inFisher，WingBird

防范措施：使用最新的安全補(bǔ)丁更新受影響的Microsoft產(chǎn)品

更多詳細(xì)信息：https://nvd.nist.gov/vuln/detail/CVE-2017-8759 

CVE-2015-1641

易受攻擊的產(chǎn)品：Microsoft Word 2007 SP3，Office 2010 SP2，Word 2010 SP2，Word 2013 SP1，Word 2013 RT SP1，Mac版Word 2011，Office兼容包SP3，SharePoint Server 2010 SP2和2013 SP1上的Word Automation Services和Office Web Apps Server 2010 SP2和2013 SP1

相關(guān)惡意軟件：UWarrior Toshliph

防范措施：使用最新的安全補(bǔ)丁更新受影響的Microsoft產(chǎn)品

更多詳細(xì)信息：https://nvd.nist.gov/vuln/detail/CVE-2015-1641

CVE-2018-7600

易受攻擊的產(chǎn)品：7.58之前的Drupal，8.3.9之前的8.x，8.4.6之前的8.4.x和8.5.1之前的8.5.x

相關(guān)惡意軟件：Kitty

防范措施：升級(jí)到Drupal 7或8核心的最新版本。

更多詳細(xì)信息：https://nvd.nist.gov/vuln/detail/CVE-2018-7600

2020年安全漏洞風(fēng)險(xiǎn)

此外，美國(guó)政府還報(bào)告在2020年容易為黑客利用的一些安全問(wèn)題：

針對(duì)未打補(bǔ)丁的虛擬專用網(wǎng)（VPN）漏洞增加，比如Citrix VPN設(shè)備中的任意代碼執(zhí)行漏洞（稱為CVE-2019-19781）已在野外攻擊中被檢測(cè)到；Pulse Secure VPN服務(wù)器中的任意文件讀取漏洞（稱為CVE-2019-11510）仍然是黑客的覬覦對(duì)象。

2020年3月，對(duì)于許多組織而言，突然實(shí)施遠(yuǎn)程辦公，需要快速部署云協(xié)作服務(wù)，例如Microsoft Office 365（O365）。這些組織快速部署Microsoft O365可能導(dǎo)致安全配置方面的監(jiān)督不足，容易受到攻擊。

此外，網(wǎng)絡(luò)安全存在其他弱點(diǎn)，例如對(duì)員工社會(huì)工程學(xué)教育不足、缺乏系統(tǒng)恢復(fù)和應(yīng)急計(jì)劃等，這些都是組織在2020年容易遭受攻擊的因素。

CVE-2019-11510

漏洞產(chǎn)品：Pulse Connect Secure 9.0R1-9.0R3.3、8.3R1-8.3R7、8.2R1-8.2R12、8.1R1-8.1R15和Pulse Policy Secure 9.0R1-9.0R3.1、5.4R1-5.4R7、5.3 R1-5.3R12、5.2R1-5.2R12、5.1R1-5.1R15

防范措施：使用最新的安全補(bǔ)丁更新受影響的Pulse Secure設(shè)備。

CVE-2019-19781

易受攻擊的產(chǎn)品：Citrix應(yīng)用程序交付控制器，Citrix網(wǎng)關(guān)和Citrix SDWAN WANOP

防范措施：使用最新的安全補(bǔ)丁更新受影響的Citrix設(shè)備

Microsoft O365安全配置中的監(jiān)督

漏洞產(chǎn)品：Microsoft O365

防范措施：遵循Microsoft O365安全建議

更多詳細(xì)信息：https://www.us-cert.gov/ncas/alerts/aa20-120a

企業(yè)網(wǎng)絡(luò)安全弱點(diǎn)

脆弱產(chǎn)品：系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)

防范措施：遵循網(wǎng)絡(luò)安全最佳實(shí)踐

更多詳細(xì)信息：https://www.cisa.gov/cyber-essentials