美国 *** 安全和基础设施安全局（CISA），联邦调查局（FBI）和更广泛的美国 *** 发布了2016年至2019年之间十大最常用的安全漏洞列表。这些机构发布了安全警报（AA20-133A ）通过国家 *** 意识系统（NCAS）来帮助公共和私人组织中的安全专业人员优先考虑修补其安全环境中最常见的漏洞。该警报提供有关常见威胁和暴露（CVE）的详细信息，这些漏洞通常由外国威胁行为者利用。

CISA 说： “公共部门和私营部门可以通过加大对系统的补丁和实施计划以保持系统最新状态的努力，来减轻对美国利益的某些外国 *** 威胁。”

“为修补这些漏洞而开展的协调运动将给外国对手的作战手法造成摩擦，并迫使他们开发或获取成本更高，效果较差的漏洞利用程序。CISA补充说，采取协调一致的修补运动也可以通过将稀缺的防御性资源集中于观察到的外国对手的活动来增强 *** 安全性。

CVE列表包括：

• CVE-2017-11882

• CVE-2017-0199

• CVE-2017-5638

• CVE-2012-0158

• CVE-2019-0604

• CVE-2017-0143

• CVE-2018-4878

• CVE-2017-8759

• CVE-2015-1641

• CVE-2018-7600

最被利用的错误

该警报指出，威胁行为者经常利用Microsoft的对象链接和嵌入（OLE）技术中的错误，其中Apache Struts *** 框架是报告第二多的易受攻击的技术。“在前10名中，来自中国，伊朗，朝鲜和俄罗斯的国家赞助的 *** 参与者中最常使用的三个漏洞是CVE-2017-11882，CVE-2017-0199和CVE-2012-0158。这三个漏洞均与Microsoft的OLE技术有关。” CISA说。

2020年利用的漏洞

在美国 *** 还报告说，一般受到2020年国家支持的演员，其利用的漏洞包括：

• CVE-2019-19781 – Citrix VPN设备中的任意代码执行漏洞

• CVE-2019-11510 – Pulse Secure VPN服务器中的任意文件读取漏洞仍然是恶意参与者的诱人目标。

*** 安全方面的弱点，例如员工对社会工程学攻击的教育程度低，缺乏系统恢复和应急计划，继续使组织在2020年容易受到勒索软件攻击。

“ 2020年3月带来了突然的在家办公的转变，这对于许多组织而言需要快速部署云协作服务，例如Microsoft Office 365（O365）。恶意 *** 参与者针对的组织是那些Microsoft O365的急速部署，可能会导致对安全配置的监督，并且容易受到攻击。” CISA补充说。

CISA和NCSC发布联合咨询

在最近的发展中，英国国家 *** 安全中心（NCSC），美国国土安全部（DHS）和CISA 的 *** 安全官员表示， *** 犯罪分子和高级持续威胁（APT）团体针对具有各种勒索软件和恶意软件攻击，从而利用COVID-19爆发为其个人谋取利益。安全机构发布了一份联合通报，描述了英国和美国越来越多的攻击者和其他恶意团体