（本文关键词：2021年上半年 漏洞 排行榜）

在大多数人的心目中，信息安全领域那些技术实力雄厚、专业人才济济的国际知名大企业肯定要比普通企业更加安全可靠，出现漏洞的数量会更少，然而有时候事实并非如此，往往会颠覆大众的普遍认知。

AtlasVPN公司公布调查结果，前三甲花落谁家？

9月份，VPN专业企业阿特拉斯VPN（AtlasVPN）公司发布了一份关于移动安全生态系统的报告书。该报告书基于西班牙电信科技（Telefonica Tech）发布的《2021年上半年网络安全报告》的相关数据，对当今移动安全和网络安全领域中发现的各种漏洞进行了分析调查。其结果显示，2021年上半年产生漏洞最多的前三甲公司分别是谷歌、微软和甲骨文。

（编者按：西班牙电信科技发布的《2021年上半年网络安全报告》的PDF原文及机翻全文已上传三正知识星球，可按照文末提示方式获取。）

 （图片来源：韩国安全新闻网站）

该报告称，互联网历史上最大规模的安全事件发生在2021年上半年。这是因为几起大规模勒索软件事件均集中发生在2021年上半年。这里所指的大规模勒索软件事件主要包括美国燃油管道运营商科洛尼尔管道运输公司（Colonial Pipeline）遭受勒索软件攻击事件、美国软件开发商Kaseya遭REvil勒索软件供应链攻击事件和全球最大的肉类供应商JBS遭受网络攻击事件等。

与此同时，关于iOS系统（苹果公司开发的移动操作系统）也发生了一起震惊世界的事件。据悉，以色列间谍软件制造商NSO集团向一些国家售卖了一款名为“飞马（Pegasus）”的手机间谍软件，用以监控记者、律师、人权活动人士甚至各国政要。正因为如此，这让以“安全”为卖点的苹果手机形象大打折扣。

漏洞数量排行榜TOP10

根据此次Atlas VPN发布的报告书，构成漏洞风险数量最多的公司分别是谷歌、微软和甲骨文。

2021 年上半年漏洞数量最多的公司排行榜（图片来源：AtlasVPN网站）

谷歌在 2021 年上半年报告的漏洞最多的公司排行榜中排名第一。 据统计，截至2021年上半年，在各种谷歌产品和服务中共发现了547个漏洞，估计可能受这些漏洞影响的用户超过30亿人。

排名第二位的是微软。据统计，截至2021年上半年，微软的产品和服务中共发现了432个漏洞。 微软今年因所谓的“Exchange Server”漏洞事件，被牵涉进多起安全事件中。 Atlas VPN公司表示，432个漏洞中有许多与Exchange服务器这一平台有关。

在甲骨文的服务和产品中共发现了316个漏洞，排名第三。据悉，在甲骨文的产品中，网络服务器（WebLogic Server）是最容易受到攻击的。WebLogic Server 是用于开发、构建和运行基于Java的应用程序的专用平台。如果攻击者成功利用这些发现的漏洞进行攻击，就可以获得对应用程序的远程访问权限。

接下来，网络设备制造商思科和软件制造商SAP分别排名第 4 和第 5 位，分别发现了200个和118个漏洞。除此之外，IBM、Jenkins、苹果、Linux、Aruba等知名企业也榜上有名，分列6至10位。

对于上述排名，Atlas VPN方面解释说，“攻击者正在积极研究和利用谷歌和微软等产品的漏洞，因为一次研究成果和成功攻击可以涉及众多用户。这些IT巨头无论做得多好，都无法把漏洞降低到零。因为觊觎的人太多，而且方法也多种多样。”

漏洞等级排行榜

虽然并非所有漏洞都会造成重大损失，但一些漏洞因其特殊的相关性或危险性而备受关注。因为这些可用于攻击的危害性极强的漏洞往往会引起网络犯罪分子的更多关注，相关企业本身也想方设法尽快修复这些漏洞。

2021 年上半年漏洞等级排行榜（图片来源：AtlasVPN网站）

2021年上半年，美国国家漏洞数据库（NVD）共记录了1023个风险等级为10的漏洞。其中，该等级漏洞中最值得关注的漏洞之一是CVE-2021-22986，一个得分为 9.8的漏洞。 该漏洞是发现于安全公司F5的BIG-IP和BIG-IQ iControl REST API中的一个远程命令执行漏洞。BIG-IP和BIG-IQ是用于应用程序交付和集中式设备管理的硬件和软件解决方案。攻击者可通过BIG-IP管理界面和自身IP地址访问该API。未经身份验证的远程攻击者可以通过将特制请求发送到易受攻击的REST接口来利用此漏洞。成功利用漏洞将使攻击者能够在易受攻击的系统上执行任意代码，从而导致对整个系统的破坏。因此，我们认为这是F5修补的最严重的漏洞，因为它不需要身份验证并且成功利用的可能性很高。

美国国家漏洞数据库发布的风险等级为9的漏洞共927个。在该等级漏洞中，CVE-2021-28111以 8.8 分脱颖而出。该漏洞是在Draeger X-Dock气体探测器固件中发现的，该固件存储了嵌入式硬编码凭证。通过提取和使用凭证，攻击者可以在系统上远程执行任意代码。

美国国家漏洞数据库中记录最多的是风险等级为8的漏洞，共有2,164个。 其中，最值得注意的是CVE-2021-24092，一个得分为7.8的漏洞。该漏洞于今年年初首次在Windows Defender中被发现，在修复之前，它已经存在了12年，目前尚不清楚该漏洞是否被利用。Windows Defender已与Windows操作系统深度集成，并且默认情况下会在每台Windows计算机（超过10亿台）上安装Windows Defender。由于Windows或Windows组件中的权限服务存在漏洞，攻击者可以通过利用这些漏洞来提升非管理员用户的权限或进行复杂的攻击。

最后，美国国家漏洞数据库记录了风险等级为7的漏洞共501个。而漏洞数量排名第二位的则是风险等级为6的漏洞，共有1,765个。风险等级在5以下的漏洞要么不危险，要么难以利用。

应对策略

由于使用谷歌、微软等全球知名企业产品的用户众多，利用谷歌或微软等服务和产品中的漏洞，网络攻击者可以侵入并威胁数以亿计的系统，危害性极强。因此，使用上述企业服务和产品的用户应时刻关注相关平台上发生的各种安全消息。在发生安全事故时，应及时采取安全建议事项和风险缓解措施。此外，日常及时地更新升级防护软件、打补丁修补系统漏洞也是非常重要的防范措施之一。

（资料来源：韩国安全新闻网站、AtlasVPN网站等相关文章。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。如果相关作者认为摘选不妥，请联系我们删除。）