美国 *** 安全和基础设施安全局(CISA),联邦调查局(FBI)和更广泛的美国 *** 发布了2016年至2019年之间十大最常用的安全漏洞列表。这些机构发布了安全警报(AA20-133A )通过国家 *** 意识系统(NCAS)来帮助公共和私人组织中的安全专业人员优先考虑修补其安全环境中最常见的漏洞。该警报提供有关常见威胁和暴露(CVE)的详细信息,这些漏洞通常由外国威胁行为者利用。
CISA 说: “公共部门和私营部门可以通过加大对系统的补丁和实施计划以保持系统最新状态的努力,来减轻对美国利益的某些外国 *** 威胁。”
“为修补这些漏洞而开展的协调运动将给外国对手的作战手法造成摩擦,并迫使他们开发或获取成本更高,效果较差的漏洞利用程序。CISA补充说,采取协调一致的修补运动也可以通过将稀缺的防御性资源集中于观察到的外国对手的活动来增强 *** 安全性。
CVE列表包括:
CVE-2017-11882
CVE-2017-0199
CVE-2017-5638
CVE-2012-0158
CVE-2019-0604
CVE-2017-0143
CVE-2018-4878
CVE-2017-8759
CVE-2015-1641
CVE-2018-7600
最被利用的错误
该警报指出,威胁行为者经常利用Microsoft的对象链接和嵌入(OLE)技术中的错误,其中Apache Struts *** 框架是报告第二多的易受攻击的技术。“在前10名中,来自中国,伊朗,朝鲜和俄罗斯的国家赞助的 *** 参与者中最常使用的三个漏洞是CVE-2017-11882,CVE-2017-0199和CVE-2012-0158。这三个漏洞均与Microsoft的OLE技术有关。” CISA说。
2020年利用的漏洞
在美国 *** 还报告说,一般受到2020年国家支持的演员,其利用的漏洞包括:
CVE-2019-19781 – Citrix VPN设备中的任意代码执行漏洞
CVE-2019-11510 – Pulse Secure VPN服务器中的任意文件读取漏洞仍然是恶意参与者的诱人目标。
*** 安全方面的弱点,例如员工对社会工程学攻击的教育程度低,缺乏系统恢复和应急计划,继续使组织在2020年容易受到勒索软件攻击。
“ 2020年3月带来了突然的在家办公的转变,这对于许多组织而言需要快速部署云协作服务,例如Microsoft Office 365(O365)。恶意 *** 参与者针对的组织是那些Microsoft O365的急速部署,可能会导致对安全配置的监督,并且容易受到攻击。” CISA补充说。
CISA和NCSC发布联合咨询
在最近的发展中,英国国家 *** 安全中心(NCSC),美国国土安全部(DHS)和CISA 的 *** 安全官员表示, *** 犯罪分子和高级持续威胁(APT)团体针对具有各种勒索软件和恶意软件攻击,从而利用COVID-19爆发为其个人谋取利益。安全机构发布了一份联合通报,描述了英国和美国越来越多的攻击者和其他恶意团体
想想技术和健康,你可能会想到 苹果公司在慢性疾病方面的工作,亚马逊计划 为医疗保健创造一个Prime,甚至是谷歌附属的 Calico Labs试图打败死亡本身。 但微软呢?微软可能不会成为头脑。但是,...
CNVD-IDCNVD-2020-22665 公开日期:2020-04-13 危害级别:中 (AV:N/AC:L/Au:S/C:P/I:P/A:N) 影响产品:WordPress Contact Fo...
我擦,这是嘛意思啊,微软做不出硬件,终于把发挥自己的软件,现在能把操作系统的普及率做上去才是王道,至于比安卓晚了这么多的微软能不能起来,还是另外一回事儿。 3月18日消息称:微软Windows硬...
临近年关,工作压力辣么大,大家是不是应该手下留情点啊,让小编也轻松两天能在上班的时候耍耍《守望先锋》什么的(不是,总编您听我说,我的意思是想咱们的公众号来点新鲜的内容,不要整天系统系统啥的,太技术流)...
601866资金流向简述什么是波浪理论,如何运用波浪理论判断起涨点暂定多来米123,炒外汇开户,注意这几个操作重点! 把K线图设置为15秒钟图形,当其中现招盘锤子形,红卫兵,启影星等K线图形或K线组...
微信聊天记录恢复的方法是什么?手机内存储许多的聊天记录,要是误删除了,能恢复吗?最近有个小伙伴就问小编。手机聊天记录删除后确实很难恢复,如果你没有提前备份聊天记录,那恢复的概率几乎为零,除非你有专业的...