Cơ quan an ninh mạng Hoa Kỳ liệt kê 15 lỗ hổng phần mềm bị khai thác nhiều nhất năm 2021

Lỗ hổng phần mềm

Log4Shell, ProxyShell, ProxyLogon, ZeroLogon và các lỗi trong Zoho ManageEngine AD SelfService Plus, Atlassian Confluence và VMware vSphere Client nổi lên như một số bảo mật được khai thác nhiều nhất vào năm 2021.

Đó là theo báo cáo “Các lỗ hổng được khai thác thường xuyên hàng đầu” do cơ quan an ninh mạng từ các quốc gia Five Eyes là Úc, Canada, New Zealand, Anh và Mỹ công bố.

Các lỗi thường xuyên được vũ khí hóa khác bao gồm lỗi thực thi mã từ xa trong Exchange Server (CVE-2020-0688), lỗ hổng đọc tệp tùy ý trong Pulse Secure Pulse Connect Secure (CVE-2019-11510) và lỗi duyệt đường dẫn trong Fortinet FortiOS và FortiProxy (CVE-2018-13379).

Lỗ hổng phần mềm bị khai thác nhiều nhất

Chín trong số 15 lỗ hổng được khai thác thường xuyên nhất là lỗ hổng thực thi mã từ xa, tiếp theo là hai điểm yếu leo ​​thang đặc quyền và một trong số đó là bỏ qua tính năng bảo mật, thực thi mã tùy ý, đọc tệp tùy ý và lỗ hổng truyền tải đường dẫn.

“Trên toàn cầu, vào năm 2021, các tác nhân mạng độc hại đã nhắm mục tiêu vào các hệ thống sử dụng internet, chẳng hạn như máy chủ email và máy chủ mạng riêng ảo (VPN), với việc khai thác các lỗ hổng mới được tiết lộ”, các cơ quan cho biết trong một cố vấn chung.

“Đối với hầu hết các lỗ hổng được khai thác nhiều nhất, các nhà nghiên cứu hoặc các tác nhân khác đã phát hành mã bằng chứng về khái niệm (PoC) trong vòng hai tuần kể từ khi lỗ hổng được tiết lộ, có khả năng tạo điều kiện cho việc khai thác bởi nhiều kẻ độc hại hơn.”

Xem tiếp:   CISA cảnh báo về những vi phạm có mức độ nghiêm trọng cao trong Phần mềm SCADA của Schneider và GE Digital

Để giảm thiểu rủi ro khai thác các lỗ hổng đã biết công khai, các cơ quan này khuyến nghị các tổ chức áp dụng các bản vá kịp thời và triển khai hệ thống quản lý bản vá tập trung.

.

Related Posts

Check Also

Lỗ hổng BMC nghiêm trọng ‘sự cố’ ảnh hưởng đến máy chủ QCT được sử dụng trong trung tâm dữ liệu

Theo một nghiên cứu mới được công bố hôm nay, các máy chủ của Công …