De Amerikaanse overheid heeft een overzicht gepubliceerd van de tien meest aangevallen kwetsbaarheden in de periode van 2016 tot 2020. Het gaat om beveiligingslekken die zowel door staten als cybercriminelen worden gebruikt om organisaties aan te vallen.

Met de Top 10 willen de autoriteiten organisaties laten zien hoe belangrijk het is om bekende kwetsbaarheden tijdig te patchen. "Buitenlandse cyberactoren blijken bekende, en vaak gedateerde, kwetsbaarheden tegen allerlei doelwitten inzetten, waaronder publieke en private organisaties. Misbruik van deze kwetsbaarheden vereist minder middelen in vergelijking met zeroday-exploits waarvoor geen patches beschikbaar zijn", aldus het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security. De Top 10 werd mede door het CISA en de FBI samengesteld.

Top 10 kwetsbaarheden

Hieronder de tien meest aangevallen kwetsbaarheden volgens het CISA, de FBI en andere Amerikaanse overheidsinstanties in de periode van 2016 tot 2020. Van de tien kwetsbaarheden worden drie beveiligingslekken in Microsoft Office (CVE-2017-11882, CVE-2017-0199 en CVE-2012-0158) het meest door statelijke actoren uit China, Iran, Noord-Korea en Rusland gebruikt., zo stelt het CISA.

Wat opvalt aan de lijst is de leeftijd van de aangevallen kwetsbaarheden. Zo stammen vijf van de tien beveiligingslekken uit 2017. Aangezien het om een overzicht gaat van aangevallen kwetsbaarheden tot 2020 houdt dit in dat succesvol aangevallen organisaties al twee jaar lang hun systemen niet hadden geüpdatet. Daarnaast zagen de Amerikaanse autoriteiten in december 2019 nog aanvallen waarbij een lek in Microsoft Office werd gebruikt waarvoor sinds 10 april 2012 een patch beschikbaar is.

• CVE-2017-11882 - Microsoft Office
• CVE-2017-0199 - Microsoft Office
• CVE-2017-5638 - Apache Struts
• CVE-2012-0158 - Microsoft Office
• CVE-2019-0604 - Microsoft SharePoint
• CVE-2017-0143 - Windows
• CVE-2018-4878 - Adobe Flash Player
• CVE-2017-8759 - Microsoft .NET Framework
• CVE-2015-1641 - Microsoft Word
• CVE-2018-7600 - Drupal

Hoewel het overzicht tot 2020 loopt waarschuwt het CISA dat aanvallers dit jaar voornamelijk gebruikmaken van kwetsbaarheden in de software van Citrix (CVE-2019-19781) en Pulse Secure (CVE-2019-11510). Ook voor deze kwetsbaarheden zijn sinds vorig jaar beveiligingsupdates beschikbaar. Tevens wijst de overheidsinstantie op aanvallers die misbruik van verkeerd geconfigureerde Microsoft Office 365-omgevingen maken.

Daarnaast blijft ook het onderwijzen van medewerkers belangrijk. "Kwetsbaarheden zoals het niet goed onderwijzen van medewerkers over social engineering en het gebruik aan systeemherstelplannen zorgen ervoor dat organisaties ook in 2020 kwetsbaar voor ransomware-aanvallen blijven", zo stelt het CISA.