فهرست پرکاربردترین آسیب‌پذیری‌ها برای حمله سایبری در ۴ سال گذشته منتشر شد

دو آژانس امنیت سایبری ایالات متحده آمریکا لیستی از ۱۰ آسیب‌پذیری نرم افزاری رایج در فاصله سال‌های ۲۰۱۶ و ۲۰۱۹ را منتشر کردند که در بالای این لیست، آفیس مایکروسافت قرار دارد.

گزارشی که توسط آژانس امنیت سایبری و امنیت زیرساخت وزارت امنیت میهن ایالات متحده آمریکا (DHS CISA) و اداره تحقیقات فدرال (FBI) نوشته شده، از سازمان‌های عمومی و بخش خصوصی درخواست کرده که برای جلوگیری از شایع‌ترین نوع حملاتی که امروزه رخ می‌دهد، بروزرسانی‌های ضروری عرضه کنند. این موضوع شامل حملات مورد حمایت دولت، غیردولتی و موارد دیگر می‌شود.

مقامات دولتی آمریکا اعلام کرده‌اند که پچ‌ها می‌توانند مانع از حملات خارجی شوند چرا که مهاجمان باید بجای استفاده از باگ‌های قدیمی و تست شده، روی توسعه کدهای مخرب جدید سرمایه‌گذاری کنند. مقامات دولتی گفته‌اند:

«اگر پچ در دسترس نباشد، استفاده از این آسیب‌پذیری‌ها اغلب به منابع کمتری در مقایسه با اکسپلویت‌های روز صفر نیاز دارند. یک کمپین هماهنگ برای پچ‌های این آسیب‌‌پذیری‌ها می‌تواند در تلاش‌های خارجی وقفه ایجاد کند و آن‌ها را مجبور به توسعه یا دسترسی به کدهای مخربی ‌کند که هزینه زیادی روی دست آن‌ها می‌گذارند و کارآمدی کمتری دارند.»

آسیب‌پذیری

سایر موارد قابل توجه در این گزارش به شرح زیر است:

  • رایج‌ترین نوع حمله، پیوند و جاسازی هدف (OLE) است، تکنولوژی که برای اسناد آفیس این امکان را فراهم می‌کند که محتوا را از برنامه‌های دیگر جاسازی کنند.
  • آسیب‌پذیری‌های OLE مانند CVE-2017-11882 ،CVE-2017-0199 و CVE-2012-0158 پراستفاده‌ترین باگ‌ها توسط کشورهای خارجی مانند چین، ایران، کره شمالی و روسیه بوده‌اند.
  • «Apache Struts» دومین فناوری بوده که بیشترین حملات علیه آن صورت گرفته. این موضوع با گزارش اخیر RiskSense مطابقت دارد.
  • رایج‌ترین آسیب‌پذیری‌های مورد استفاده در سال ۲۰۲۰، CVE-2019-19781 در Citrix VPN و CVE-2019-11510 در سرویس‌های Pulse Secure VPN بوده‌اند.
  • با شیوع کرونا، بسیاری از سازمان‌ها تصمیم به دورکاری کارکنان خود گرفتند که برای استقرار آفیس ۳۶۵ از پیکربندی اشتباه استفاده کرده‌اند.

لیست ۱۰ آسیب‌پذیری که بیشترین بهره‌برداری از آن‌ها شده، بدون ترتیب خاصی به شرح زیر است:

  • CVE-2017-11882
  • CVE-2017-0199
  • CVE-2017-5638
  • CVE-2012-0158
  • CVE-2019-0604
  • CVE-2017-0143
  • CVE-2018-4878
  • CVE-2017-8759
  • CVE-2015-1641
  • CVE-2018-7600

مطالب مرتبط

رشد ۵۴ درصدی حملات سایبری مبتنی بر بازی‌ها و پلتفرم‌های گیمینگ

طبق گزارش جدید «کسپرسکی»، ماه آپریل با ۵۴ درصد اقدامات بیشتر در زمینه حمله سایبری و نفوذ امنیتی در صنعت گیم همراه بوده؛ اتفاقی که پیرو خانه نشینی مردم به خاطر شیوع ویروس کرونا و روی آوردن بیشتر به تجربه بازی‌های ویدیویی رخ داده.همانطور که می‌دانید پاندمی فعلی جهان موجب قرنطینه و خانه نشینی بسیاری... ادامه مطلب

افشای صدها هزار سند حساس پلیس آمریکا توسط هکرهای Anonymous

یک گروه هک صدها هزار فایل از ۲۰۰ دپارتمان پلیس و دفاتر FBI در سرتاسر ایالات متحده را منتشر کرد. اطلاعات لو رفته شامل ایمیل‌ها، یادداشت‌های داخلی و اطلاعات شخصی مأموران پلیس می‌شوند.این اطلاعات تحت نام «BlueLeaks» توسط گروه هک «DDoSecrets» با همکاری «Anonymous» منتشر شده‌اند. بسیاری از اسناد لو رفته نحوه اشتراک گذاری اطلاعات... ادامه مطلب

هشدار درباره بدافزاری که با روشی جدید به macOS حمله می کند

موسسه امنیتی «Intego» درباره بدافزار خطرناک و جدیدی هشدار داده که با فریب کاربران macOS از سدهای امنیتی عبور کرده و سیستم را آلوده می‌کند.اپل در macOS کاتالینا قابلیت جدیدی را در Gatekeeper معرفی کرده که احتمال نصب اپ‌های تایید نشده را به حداقل می‌رساند و از اینرو سازندگان بدافزار برای نفوذ به این کامپیوترها باید خلاقیت... ادامه مطلب

آمازون بزرگترین حمله DDoS‌ ثبت شده در تاریخ را خنثی کرد

سرویس‌های وب آمازون اخیرا توانسته‌اند در برابر بزرگترین حمله DDoS که تا به امروز با آن مواجه شده‌اند، از خود محافظت کنند. حداکثر ترافیک این حملات ۲.۳ ترابیت بر ثانیه بوده است.جزئیات این حمله در گزارش مربوط به تهدیدات این شرکت در فصل اول ۲۰۲۰ منتشر شده. آمازون از وقوع این حمله در ماه فوریه... ادامه مطلب

پروتکل ارتباطی همراه با نویز؛ راهکاری برای جلوگیری از حملات با کامپیوترهای کوانتومی

با افزایش ارتباطات میان افراد و دستگاه‌های مختلف در سراسر جهان، نیاز به ابزارهای پیشرفته برای افزایش امنیت آن‌ها احساس می‌شود. حالا محققان به پروتکل ارتباطی دست پیدا کرده‌اند که محافظت از حریم شخصی را کاملا تضمین می‌کند.در حال حاضر ارتباطات میان سیستم‌ها را به وسیله رمزنگاری امن نگه می‌داریم، اما همچنان نمی‌توانیم امنیت آن‌ها را... ادامه مطلب

هشدار ESET درباره حمله سایبری هکرها به نرم‌افزارهای مایکروسافت آفیس

کارشناسان ESET از شناسایی بدافزارهای جدید برای سرقت اطلاعات از طریق نرم افزارهای مایکروسافت آفیس خبر داده‌اند. این حملات توسط گروه «Gamaredon» و بر پایه انتشار ایمیل‌های مخرب صورت می‌گیرد.هکرهای Gamaredon از سال ۲۰۱۳ به عنوان یکی از تهدیدات پیشرفته و مداوم (APT) شناخته شده‌اند و موسسات اکراینی هدف مورد علاقه آنها هستند. این گروه در ماه‌های... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟