美國政府公布最常被駭客開採的前十大安全漏洞

美國國土安全部網路安全及基礎架構安全署（CISA）與美國調查局（FBI），在本周公布了從2016年到2019年間，最常遭到駭客開採的十大安全漏洞，它們皆屬於已被修補的安全漏洞，最早可追溯到2012年，相準那些未修補的政府機關或私人企業。

這些漏洞分別是CVE-2017-11882、CVE-2017-0199、CVE-2017-5638、CVE-2012-0158、CVE-2019-0604、CVE-2017-0143、CVE-2018-4878、CVE-2017-8759、CVE-2015-1641與CVE-2018-7600。

美國政府指出，駭客鎖定這些已修補的漏洞，主要是因為要攻陷它們，比找到一個零時差漏洞更為方便及有效率；當中最受駭客青睞的，是微軟的物件連結與嵌入（Object Linking and Embedding，OLE）漏洞，OLE允許文件嵌入來自其它應用程式的內容，居次的則是Apache Struts網頁框架。

分析顯示，來自中國、伊朗、北韓與俄羅斯的國家級駭客最愛開採OLE漏洞，涵蓋CVE-2017-11882、CVE-2017-0199與CVE-2012-0158，例如中國駭客曾在去年12月不斷攻擊CVE-2012-0158漏洞，透露出可能有很多組織尚未修補該漏洞，才會成為駭客的首選。

至於CVE-2017-5638則與Apache Struts 2有關，CVE-2019-0604為微軟SharePoint的遠端程式攻擊漏洞，CVE-2017-0143是微軟的SMB漏洞，CVE-2018-4878為Adobe Flash Player漏洞，CVE-2017-8759是.NET框架漏洞，CVE-2015-1641藏匿在Word中，CVE-2018-7600則屬Drupal漏洞。

美國政府也公布了今年以來經常被開採的漏洞，發現有愈來愈多駭客鎖定虛擬私有網路（VPN）的安全漏洞展開攻擊，像是存在於Citrix VPN設備上的CVE-2019-19781，或是存在於 Pulse Secure VPN伺服器上的CVE-2019-11510。

此外，有鑑於今年3月有愈來愈多的企業實施在家上班政策，倉促部署雲端服務可能造成配置錯誤，而讓駭客有機可趁。

CISA也列出了與上述漏洞有關的各種攻擊程式，以供政府機構及私人企業參考。