NSA在報告中指出，許多漏洞的利用程序都可公開獲取，有些不僅被中國黑客利用，還被收入勒索軟件幫派、惡意軟件團體以及其他國家（例如俄羅斯和伊朗）黑客組織的武器庫。

　　NSA此次報告中文精排版和英文版本星球可下載。

　　NSA聲稱：“攻擊者可以利用報告中列出的大多數(shù)漏洞，利用存在這些漏洞的聯(lián)網(wǎng)產(chǎn)品作為跳板和網(wǎng)關(guān)，訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。”

　　以下是NSA要求政府部門和私營企業(yè)盡快修復(fù)的25個漏洞清單：

　　1）CVE-2019-11510-在Pulse Secure VPN服務(wù)器上，未經(jīng)身份驗證的遠程攻擊者可以發(fā)送特制URI來執(zhí)行任意文件讀取漏洞，這可能會導(dǎo)致密鑰或密碼泄露。

　　2）CVE-2020-5902-在F5 BIG-IP代理和負載平衡器上，流量管理用戶界面（TMUI）（也稱為配置實用程序）容易受到遠程代碼執(zhí)行（RCE）漏洞的攻擊，該漏洞可能允許遠程執(zhí)行攻擊者接管整個BIG-IP設(shè)備。

　　3）CVE-2019-19781 -Citrix應(yīng)用程序交付控制器（ADC）和網(wǎng)關(guān)系統(tǒng)容易受到目錄遍歷漏洞的影響，這可能導(dǎo)致遠程執(zhí)行代碼，而攻擊者不必擁有該設(shè)備的有效憑據(jù)?？梢詫⑦@兩個弱點關(guān)聯(lián)起來以接管Citrix系統(tǒng)。

　　4 、 5 、6）CVE-2020-8193、CVE-2020-8195、CVE-2020-8196-另一組Citrix ADC和網(wǎng)關(guān)漏洞。這些漏洞也會影響SDWAN WAN-OP系統(tǒng)。這三個漏洞允許未經(jīng)身份驗證的用戶訪問某些URL端點，并向低權(quán)限用戶泄露信息。

　　7）CVE-2019-0708（aka BlueKeep）-Windows操作系統(tǒng)上的遠程桌面服務(wù)中存在的一個遠程執(zhí)行代碼漏洞。

　　8）CVE-2020-15505-MobileIron移動設(shè)備管理（MDM）軟件中的遠程執(zhí)行代碼漏洞，允許遠程攻擊者執(zhí)行任意代碼并接管遠程公司服務(wù)器。

　　9）CVE-2020-1350（又名SIGRed）-Windows域名系統(tǒng)服務(wù)器無法正確處理請求時，存在遠程執(zhí)行代碼漏洞。

　　10）CVE-2020-1472（又名Netlogon）-攻擊者使用Netlogon遠程協(xié)議（MS-NRPC）與域控制器的易受攻擊的Netlogon安全通道建立連接時，存在提權(quán)漏洞。

　　11）CVE-2019-1040-當中間人攻擊者成功繞過NTLM MIC（消息完整性檢查）保護時，能夠利用的一個微軟Windows的篡改漏洞。

　　12）CVE-2018-6789-將手工消息發(fā)送到Exim郵件傳輸代理可能會導(dǎo)致緩沖區(qū)溢出。這可用于遠程執(zhí)行代碼并接管電子郵件服務(wù)器。

　　13）CVE-2020-0688-當Microsoft Exchange軟件無法正確處理內(nèi)存中的對象時，該軟件中存在一個遠程執(zhí)行代碼漏洞。

　　14）CVE-2018-4939-某些Adobe ColdFusion版本存在可利用的不可信數(shù)據(jù)反序列化漏洞。成功的利用可能導(dǎo)致任意代碼執(zhí)行。

　　15）CVE-2015-4852-Oracle WebLogic 15 Server中的WLS安全組件允許遠程攻擊者通過精心制作的序列化Java對象執(zhí)行任意命令。

　　16）CVE-2020-2555-Oracle Fusion中間件的Coherence產(chǎn)品中存在一個漏洞。這個容易利用的漏洞允許未經(jīng)身份驗證的攻擊者通過T3進行網(wǎng)絡(luò)訪問，從而危害Oracle Coherence系統(tǒng)。

　　17）CVE-2019-3396-Atlassian Confluence 17 Server中的Widget Connector宏允許遠程攻擊者通過服務(wù)器端模板注入在Confluence Server或數(shù)據(jù)中心實例上實施路徑遍歷和遠程代碼執(zhí)行。

　　18）CVE-2019-11580-能向Atlassian Crowd或Crowd Data Center實例發(fā)送請求的攻擊者可以利用此漏洞安裝任意插件，從而允許遠程執(zhí)行代碼。

　　19）CVE-2020-10189-由于不信任數(shù)據(jù)的反序列化，Zoho ManageEngine Desktop Central允許遠程執(zhí)行代碼。

　　20）CVE-2019-18935-ASP.NET AJAX的Progress Telerik UI包含一個。NET反序列化漏洞。漏洞利用可能導(dǎo)致遠程執(zhí)行代碼。

　　21）CVE-2020-0601 （aka CurveBall）-Windows CryptoAPI（Crypt32.dll）驗證橢圓曲線密碼（ECC）證書的方式中存在一個欺騙漏洞。攻擊者可以通過使用欺騙性的代碼簽名證書對惡意可執(zhí)行文件進行簽名來利用此漏洞，從而使該文件冒充來自受信任的合法來源。

　　22）CVE-2019-0803-Windows中存在Win32k組件無法正確處理內(nèi)存中對象的特權(quán)提升漏洞。

　　23）CVE-2017-6327-Symantec Messaging Gateway可能會遇到遠程執(zhí)行代碼的問題。

　　24）CVE-2020-3118-Cisco IOS XR軟件的Cisco發(fā)現(xiàn)協(xié)議實施中的漏洞，可允許未經(jīng)身份驗證的相鄰攻擊者執(zhí)行任意代碼，或?qū)е略O(shè)備重啟。

　　25）CVE-2020-8515-DrayTek Vigor設(shè)備允許通過shell元字符以root用戶身份（無需身份驗證）遠程執(zhí)行代碼。