黑客最常利用的 30 个安全漏洞

澳大利亚、英国和美国的情报机构周三发布了一份联合报告，详细介绍了 2020 年和 2021 年最常被利用的漏洞，再次证明了黑客能够迅速将公开披露的漏洞武器化，以谋取利益。

排名前 30 位的漏洞涉及范围广泛的软件，包括远程工作、虚拟专用网络 (VPN) 和基于云的技术，涵盖来自 Microsoft、VMware、Pulse Secure、Fortinet、Accellion、Citrix、F5 的广泛产品大 IP、Atlassian 和 Drupal。

2020 年最常被利用的漏洞如下：

• CVE-2019-19781（CVSS 评分：9.8）——Citrix Application Delivery Controller (ADC) 和网关目录遍历漏洞
• CVE-2019-11510（CVSS 评分：10.0）——Pulse Connect Secure 任意文件读取漏洞
• CVE-2018-13379 (CVSS score: 9.8) - Fortinet FortiOS 路径遍历漏洞导致系统文件泄露
• CVE-2020-5902（CVSS 评分：9.8）- F5 BIG-IP 远程代码执行漏洞
• CVE-2020-15505（CVSS 评分：9.8）——MobileIron Core & Connector 远程代码执行漏洞
• CVE-2020-0688（CVSS 评分：8.8）——Microsoft Exchange 内存损坏漏洞
• CVE-2019-3396（CVSS 评分：9.8）——Atlassian Confluence Server 远程代码执行漏洞
• CVE-2017-11882（CVSS 评分：7.8）——Microsoft Office 内存损坏漏洞
• CVE-2019-11580（CVSS 评分：9.8）——Atlassian Crowd 和 Crowd Data Center 远程代码执行漏洞
• CVE-2018-7600（CVSS 评分：9.8）——Drupal 远程代码执行漏洞
• CVE-2019-18935（CVSS 评分：9.8）——导致远程代码执行的 Telerik .NET 反序列化漏洞
• CVE-2019-0604（CVSS 评分：9.8）——Microsoft SharePoint 远程代码执行漏洞
• CVE-2020-0787（CVSS 评分：7.8）——Windows 后台智能传输服务 (BITS) 提权漏洞
• CVE-2020-1472（CVSS 评分：10.0）——Windows Netlogon 提权漏洞

2021 年迄今为止受到主动攻击的漏洞列表如下：

• Microsoft Exchange Server：CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065（又名“ProxyLogon”）
• 脉冲安全：CVE-2021-22893、CVE-2021-22894、CVE-2021-22899和CVE-2021-22900
• 加速：CVE-2021-27101、CVE-2021-27102、CVE-2021-27103和CVE-2021-27104
• VMware：CVE-2021-21985
• Fortinet：CVE-2018-13379、CVE-2020-12812和CVE-2019-5591

一周前，MITRE发布了 25 大“最危险”软件错误列表，这些错误可能导致严重漏洞，攻击者可以利用这些漏洞来控制受影响的系统、获取敏感信息或导致拒绝 -服务状态。

原文由：https://thehackernews.com/2021/07/top-30-critical-security.html