概括以下網(wǎng)絡(luò)安全機(jī)構(gòu)共同撰寫了這份聯(lián)合網(wǎng)絡(luò)安全咨詢 (CSA): 美國:網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA)�����、國家安全局 (NSA) 和聯(lián)邦調(diào)查局 (FBI) 澳大利亞:澳大利亞信號局的澳大利亞網(wǎng)絡(luò)安全中心 (ACSC) 加拿大:加拿大網(wǎng)絡(luò)安全中心 (CCCS) 新西蘭:新西蘭國家網(wǎng)絡(luò)安全中心 (NCSC-NZ) 和新西蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組 (CERT NZ) 英國:國家網(wǎng)絡(luò)安全中心(NCSC-UK)
此通報(bào)提供了有關(guān) 2022 年惡意網(wǎng)絡(luò)攻擊者經(jīng)常利用的常見漏洞和暴露 (CVE) 以及相關(guān)常見弱點(diǎn)枚舉 (CWE) 的詳細(xì)信息��。到 2022 年����,惡意網(wǎng)絡(luò)攻擊者利用舊軟件漏洞的頻率比最近披露的漏洞和針對未修補(bǔ)的面向互聯(lián)網(wǎng)的系統(tǒng)的頻率更高。 創(chuàng)作機(jī)構(gòu)強(qiáng)烈鼓勵(lì)供應(yīng)商�����、設(shè)計(jì)人員、開發(fā)人員和最終用戶組織實(shí)施本通報(bào)“緩解措施”部分中的建議(包括以下內(nèi)容)���,以降低惡意網(wǎng)絡(luò)行為者危害的風(fēng)險(xiǎn)���。 供應(yīng)商、設(shè)計(jì)人員和開發(fā)人員:實(shí)施設(shè)計(jì)安全和默認(rèn)原則和策略����,以減少軟件中漏洞的出現(xiàn)���。 遵循安全軟件開發(fā)框架 (SSDF)(也稱為SP 800-218)���,并將安全設(shè)計(jì)實(shí)踐實(shí)施到軟件開發(fā)生命周期 (SDLC) 的每個(gè)階段��。作為其中的一部分���,建立一個(gè)協(xié)調(diào)的漏洞披露計(jì)劃�,其中包括確定已發(fā)現(xiàn)漏洞的根本原因的流程���。 優(yōu)先考慮默認(rèn)安全配置,例如消除默認(rèn)密碼,或要求進(jìn)行其他配置更改以增強(qiáng)產(chǎn)品安全性����。 確保發(fā)布的 CVE 包含識別漏洞根本原因的正確 CWE 字段。
最終用戶組織: 及時(shí)給系統(tǒng)打補(bǔ)丁�。注意:如果本 CSA 中確定的 CVE 尚未修補(bǔ),請首先檢查是否存在泄露跡象�����。 實(shí)施集中式補(bǔ)丁管理系統(tǒng)�。 使用安全工具,例如端點(diǎn)檢測和響應(yīng) (EDR)�����、Web 應(yīng)用程序防火墻和網(wǎng)絡(luò)協(xié)議分析器��。 要求您的軟件提供商討論他們的安全設(shè)計(jì)計(jì)劃�,并提供有關(guān)他們?nèi)绾蜗┒搭悇e和設(shè)置安全默認(rèn)設(shè)置的信息鏈接。
技術(shù)細(xì)節(jié) 主要發(fā)現(xiàn)到 2022 年�,惡意網(wǎng)絡(luò)攻擊者利用舊軟件漏洞的頻率比最近披露的漏洞和針對未修補(bǔ)的面向互聯(lián)網(wǎng)的系統(tǒng)的頻率更高。許多軟件漏洞或漏洞鏈的概念驗(yàn)證 (PoC) 代碼是公開可用的��,這可能有助于更廣泛的惡意網(wǎng)絡(luò)行為者的利用����。 惡意網(wǎng)絡(luò)行為者通常在公開披露的頭兩年內(nèi)最成功地利用已知漏洞——隨著軟件的修補(bǔ)或升級���,此類漏洞的價(jià)值逐漸下降。及時(shí)修補(bǔ)會(huì)降低已知可利用漏洞的有效性��,可能會(huì)降低惡意網(wǎng)絡(luò)行為者的操作速度����,并迫使人們尋求成本更高、更耗時(shí)的方法(例如開發(fā)零日漏洞或進(jìn)行軟件供應(yīng)鏈操作)����。 惡意網(wǎng)絡(luò)行為者可能會(huì)優(yōu)先開發(fā)嚴(yán)重且全球流行的 CVE 漏洞����。雖然經(jīng)驗(yàn)豐富的攻擊者還開發(fā)了利用其他漏洞的工具,但開發(fā)針對關(guān)鍵的�、廣泛傳播的和眾所周知的漏洞的漏洞,為攻擊者提供了可以使用數(shù)年的低成本��、高影響力的工具�。此外,網(wǎng)絡(luò)攻擊者可能會(huì)對特定目標(biāo)網(wǎng)絡(luò)中更普遍的漏洞給予更高的優(yōu)先級����。多個(gè) CVE 或 CVE 鏈要求攻擊者向易受攻擊的設(shè)備發(fā)送惡意 Web 請求����,該請求通常包含可通過深度數(shù)據(jù)包檢查檢測到的獨(dú)特簽名�����。 最常被利用的漏洞表 1 顯示了合著者觀察到的惡意網(wǎng)絡(luò)攻擊者在 2022 年經(jīng)常利用的 12 個(gè)漏洞: CVE-2018-13379��。該漏洞影響 Fortinet SSL VPN���,在 2020 年和2021 年也經(jīng)常被利用����。持續(xù)的利用表明許多組織未能及時(shí)修補(bǔ)軟件�����,并且仍然容易受到惡意網(wǎng)絡(luò)攻擊者的攻擊���。 CVE-2021-34473��、CVE-2021-31207���、CVE-2021-34523��。這些漏洞稱為 ProxyShell�,影響 Microsoft Exchange 電子郵件服務(wù)器��。結(jié)合起來�����,成功的利用使遠(yuǎn)程攻擊者能夠執(zhí)行任意代碼���。這些漏洞存在于 Microsoft 客戶端訪問服務(wù) (CAS) 中���,該服務(wù)通常在 Microsoft Internet 信息服務(wù) (IIS)(例如 Microsoft 的 Web 服務(wù)器)的端口 443 上運(yùn)行。CAS 通常暴露在互聯(lián)網(wǎng)上�,使用戶能夠通過移動(dòng)設(shè)備和 Web 瀏覽器訪問其電子郵件���。 CVE-2021-40539�����。該漏洞可在 Zoho ManageEngine ADSelfService Plus 中啟用未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行 (RCE)�,并且與過時(shí)的第三方依賴項(xiàng)的使用有關(guān)。該漏洞的首次利用始于 2021 年底�����,并持續(xù)到 2022 年�。 CVE-2021-26084。該漏洞影響 Atlassian Confluence 服務(wù)器和數(shù)據(jù)中心(政府和私營公司使用的基于網(wǎng)絡(luò)的協(xié)作工具)�,可能使未經(jīng)身份驗(yàn)證的網(wǎng)絡(luò)攻擊者能夠在易受攻擊的系統(tǒng)上執(zhí)行任意代碼。該漏洞在 PoC 披露后一周內(nèi)發(fā)布�����,很快成為最常被利用的漏洞之一�。2021 年 9 月觀察到有人試圖大規(guī)模利用此漏洞。 CVE-2021-44228�。此漏洞稱為 Log4Shell,影響 Apache 的 Log4j 庫��,這是一個(gè)開源日志框架��,已融入全球數(shù)千種產(chǎn)品中�。攻擊者可以通過向易受攻擊的系統(tǒng)提交特制請求來利用此漏洞,從而導(dǎo)致執(zhí)行任意代碼����。該請求允許網(wǎng)絡(luò)參與者完全控制系統(tǒng)��。然后����,攻擊者可以竊取信息��、啟動(dòng)勒索軟件或進(jìn)行其他惡意活動(dòng)�。[1 ] 惡意網(wǎng)絡(luò)攻擊者在 2021 年 12 月公開披露該漏洞后開始利用該漏洞,并在 2022 年上半年繼續(xù)對 CVE-2021-44228 表現(xiàn)出高度興趣�����。 CVE-2022-22954�����、 CVE-2022-22960�。這些漏洞允許在 VMware Workspace ONE Access、Identity Manager 和其他 VMware 產(chǎn)品中進(jìn)行 RCE�、權(quán)限提升和身份驗(yàn)證繞過。具有網(wǎng)絡(luò)訪問權(quán)限的惡意網(wǎng)絡(luò)攻擊者可能會(huì)觸發(fā)服務(wù)器端模板注入�,從而可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行�。CVE-2022-22954 和 CVE-2022-22960 的利用于 2022 年初開始,并在今年剩余時(shí)間內(nèi)繼續(xù)進(jìn)行嘗試���。 CVE-2022-1388�。此漏洞允許未經(jīng)身份驗(yàn)證的惡意網(wǎng)絡(luò)攻擊者繞過 F5 BIG-IP 應(yīng)用程序交付和安全軟件上的iControl REST 身份驗(yàn)證。 CVE-2022-30190���。此漏洞影響 Windows 中的 Microsoft 支持診斷工具 (MSDT)����。未經(jīng)身份驗(yàn)證的遠(yuǎn)程網(wǎng)絡(luò)攻擊者可以利用此漏洞來控制受影響的系統(tǒng)���。 CVE-2022-26134����。這個(gè)嚴(yán)重的 RCE 漏洞影響 Atlassian Confluence 和 Data Center��。該漏洞最初可能是在 2022 年 6 月公開披露之前作為零日漏洞被利用的�����,它與較早的 Confluence 漏洞 ( CVE-2021-26084 ) 相關(guān)�,網(wǎng)絡(luò)攻擊者也在 2022 年利用了該漏洞。
|
