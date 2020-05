De Amerikaanse overheid heeft een overzicht gepubliceerd van de tien meest aangevallen kwetsbaarheden in de periode van 2016 tot 2020. Het gaat om beveiligingslekken die zowel door staten als cybercriminelen worden gebruikt om organisaties aan te vallen.

Met de Top 10 willen de autoriteiten organisaties laten zien hoe belangrijk het is om bekende kwetsbaarheden tijdig te patchen. "Buitenlandse cyberactoren blijken bekende, en vaak gedateerde, kwetsbaarheden tegen allerlei doelwitten inzetten, waaronder publieke en private organisaties. Misbruik van deze kwetsbaarheden vereist minder middelen in vergelijking met zeroday-exploits waarvoor geen patches beschikbaar zijn", aldus het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security. De Top 10 werd mede door het CISA en de FBI samengesteld.

Top 10 kwetsbaarheden

Hieronder de tien meest aangevallen kwetsbaarheden volgens het CISA, de FBI en andere Amerikaanse overheidsinstanties in de periode van 2016 tot 2020. Van de tien kwetsbaarheden worden drie beveiligingslekken in Microsoft Office (CVE-2017-11882, CVE-2017-0199 en CVE-2012-0158) het meest door statelijke actoren uit China, Iran, Noord-Korea en Rusland gebruikt., zo stelt het CISA.

Wat opvalt aan de lijst is de leeftijd van de aangevallen kwetsbaarheden. Zo stammen vijf van de tien beveiligingslekken uit 2017. Aangezien het om een overzicht gaat van aangevallen kwetsbaarheden tot 2020 houdt dit in dat succesvol aangevallen organisaties al twee jaar lang hun systemen niet hadden geüpdatet. Daarnaast zagen de Amerikaanse autoriteiten in december 2019 nog aanvallen waarbij een lek in Microsoft Office werd gebruikt waarvoor sinds 10 april 2012 een patch beschikbaar is.