美国发布2016年以来最常被攻击利用的漏洞列表

美国网络安全和基础设施安全局（CISA），联邦调查局（FBI）等机构联合发布2016年以来最常被攻击利用的漏洞列表。

其中，根据美国政府的技术分析，攻击者最经常利用Microsoft的对象链接和嵌入（OLE）技术中的漏洞。OLE允许文档包含来自其他应用程序（如电子表格）的嵌入内容。在OLE之后，第二大易受攻击的技术是被称为Apache Struts的Web框架。

据报告称，来自伊朗，朝鲜和俄罗斯的攻击组织中最常使用的三个漏洞是CVE-2017-11882，CVE-2017-0199和CVE-2012-0158。这三个漏洞均与Microsoft的OLE技术相关，通常作为钓鱼邮件的Word附件进行传播。

列表主要为，漏洞影响的产品，哪些恶意软件通过这些漏洞进行传播，如何防止被攻击，更多详细信息，以及关于使用这些漏洞进行攻击的具体细节链接（IOCs）。

漏洞编号和具体原理可以直接百度CVE编号，在此不做过多解释，主要比较好的汇总在于哪些恶意软件都使用了他们进行攻击。

CVE-2017-11882

受影响产品：Microsoft Office 2007 SP3 / 2010 SP2 / 2013 SP1 / 2016

相关恶意软件：Loki，FormBook，Pony / FAREIT

IOCs：https://www.us-cert.gov/ncas/analysis-reports/ar20-133e

CVE-2017-0199

漏洞产品：Microsoft Office 2007 SP3 / 2010 SP2 / 2013 SP1 / 2016，Vista SP2，Server 2008 SP2，Windows 7 SP1，Windows 8.1

相关恶意软件：FINSPY，LATENTBOT，Dridex

IOCs：https://www.us-cert.gov/ncas/analysis-reports/ar20-133g

https://www.us-cert.gov/ncas/analysis-reports/ar20-133h

https://www.us-cert.gov/ncas/analysis-reports/ar20-133p

CVE-2017-5638

漏洞产品：Apache Struts 2 2.3.x之前的2.3.x和2.5.10.1之前的2.5.x

相关恶意软件：JexBoss

缓解措施：升级到Struts 2.3.32或Struts 2.5.10.1

更多详情：

https://www.us-cert.gov/ncas/analysis-reports/AR18-312A

https://nvd.nist.gov/vuln/detail/CVE-2017-5638

CVE-2012-0158

漏洞产品：Microsoft Office 2003 SP3、2007 SP2和SP3，以及2010 Gold和SP1；Office 2003 Web组件SP3；SQL Server 2000 SP4、2005 SP4和2008 SP2，SP3和R2; BizTalk Server 2002 SP1；Commerce Server 2002 SP4、2007 SP2和2009 Gold和R2; Visual FoxPro 8.0 SP1和9.0 SP2; 和Visual Basic 6.0

相关恶意软件：Dridex

更多详情：

https://www.us-cert.gov/ncas/alerts/aa19-339a

https://nvd.nist.gov/vuln/detail/CVE-2012-0158

CVE-2019-0604

漏洞产品：Microsoft SharePoint

相关恶意软件：China Chopper

CVE-2017-0143

漏洞产品：Microsoft Windows Vista SP2；Windows Server 2008 SP2和R2 SP1; Windows 7 SP1；Windows 8.1; Windows Server 2012 Gold和R2；Windows RT 8.1；Windows 10 Gold，1511和1607；以及 和Windows Server 2016

关联的恶意软件：使用EternalSynergy和EternalBlue Exploit Kit进行多次攻击

缓解措施：使用最新的安全补丁更新受影响的Microsoft产品

更多详细信息：https ://nvd.nist.gov/vuln/detail/CVE-2017-0143

这里就是著名的永恒之蓝漏洞，“搬起石头砸自己的脚”系列。

CVE-2018-4878

漏洞产品：28.0.0.161之前的Adobe Flash Player

关联的恶意软件：DOGCALL

缓解措施：将Adobe Flash Player安装更新到最新版本

IOCs：https ://www.us-cert.gov/ncas/analysis-reports/ar20-133d

CVE-2017-8759

漏洞产品：Microsoft .NET Framework 2.0、3.5、3.5.1、4.5.2、4.6、4.6.1、4.6.2和4.7

相关恶意软件：FINSPY，FinFisher，WingBird

IOCs：https ://www.us-cert.gov/ncas/analysis-reports/ar20-133f

CVE-2015-1641

易受攻击的产品：Microsoft Word 2007 SP3，Office 2010 SP2，Word 2010 SP2，Word 2013 SP1，Word 2013 RT SP1，Mac版Word 2011，Office兼容包SP3，SharePoint Server 2010 SP2和2013 SP1上的Word Automation Services和Office Web Apps Server 2010 SP2和2013 SP1

相关恶意软件：UWarrior Toshliph

IOCs：https : //www.us-cert.gov/ncas/analysis-reports/ar20-133m

CVE-2018-7600

漏洞产品：7.58之前的Drupal，8.3.9之前的8.x，8.4.6之前的8.4.x和8.5.1之前的8.5.x

相关恶意软件：Kitty

缓解措施：升级到Drupal 7或8核心的最新版本。

更多详细信息：https ://nvd.nist.gov/vuln/detail/CVE-2018-7600

CVE-2019-11510

易受攻击的产品：Pulse Connect Secure 9.0R1-9.0R3.3、8.3R1-8.3R7、8.2R1-8.2R12、8.1R1-8.1R15和Pulse Policy Secure 9.0R1-9.0R3.1、5.4R1-5.4R7、5.3 R1-5.3R12、5.2R1-5.2R12、5.1R1-5.1R15

缓解措施：使用最新的安全补丁更新受影响的Pulse Secure设备。

更多详情：

https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/

CVE-2019-19781

易受攻击的产品：Citrix应用程序交付控制器，Citrix网关和Citrix SDWAN WANOP

缓解措施：使用最新的安全补丁更新受影响的Citrix设备

更多详情：

https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/

虽然美国这份报告发布是为了把利用这些漏洞进行攻击的黑客组织都敲打一遍，但是也侧面告诉了我们，这些高频漏洞都需要挨个排查是否影响自己的系统。加强网络安全建设，从我做起。

简单来说，更新就完了。

参考其他链接都在PDF，可直接下载查看链接。

https://www.us-cert.gov/sites/default/files/publications/AA20-133A_Top_10_Routinely_Exploited_Vulnerabilities_S508C.pdf

多喝热水