概括以下網(wǎng)絡(luò)安全機(jī)構(gòu)共同撰寫(xiě)了這份聯(lián)合網(wǎng)絡(luò)安全咨詢 (CSA): 美國(guó):網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA)、國(guó)家安全局 (NSA) 和聯(lián)邦調(diào)查局 (FBI) 澳大利亞:澳大利亞信號(hào)局的澳大利亞網(wǎng)絡(luò)安全中心 (ACSC) 加拿大:加拿大網(wǎng)絡(luò)安全中心 (CCCS) 新西蘭:新西蘭國(guó)家網(wǎng)絡(luò)安全中心 (NCSC-NZ) 和新西蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組 (CERT NZ) 英國(guó):國(guó)家網(wǎng)絡(luò)安全中心(NCSC-UK)
此通報(bào)提供了有關(guān) 2022 年惡意網(wǎng)絡(luò)攻擊者經(jīng)常利用的常見(jiàn)漏洞和暴露 (CVE) 以及相關(guān)常見(jiàn)弱點(diǎn)枚舉 (CWE) 的詳細(xì)信息��。到 2022 年�,惡意網(wǎng)絡(luò)攻擊者利用舊軟件漏洞的頻率比最近披露的漏洞和針對(duì)未修補(bǔ)的面向互聯(lián)網(wǎng)的系統(tǒng)的頻率更高。 創(chuàng)作機(jī)構(gòu)強(qiáng)烈鼓勵(lì)供應(yīng)商����、設(shè)計(jì)人員、開(kāi)發(fā)人員和最終用戶組織實(shí)施本通報(bào)“緩解措施”部分中的建議(包括以下內(nèi)容)��,以降低惡意網(wǎng)絡(luò)行為者危害的風(fēng)險(xiǎn)�。 供應(yīng)商、設(shè)計(jì)人員和開(kāi)發(fā)人員:實(shí)施設(shè)計(jì)安全和默認(rèn)原則和策略���,以減少軟件中漏洞的出現(xiàn)����。 遵循安全軟件開(kāi)發(fā)框架 (SSDF)(也稱(chēng)為SP 800-218)����,并將安全設(shè)計(jì)實(shí)踐實(shí)施到軟件開(kāi)發(fā)生命周期 (SDLC) 的每個(gè)階段。作為其中的一部分��,建立一個(gè)協(xié)調(diào)的漏洞披露計(jì)劃,其中包括確定已發(fā)現(xiàn)漏洞的根本原因的流程�����。 優(yōu)先考慮默認(rèn)安全配置�,例如消除默認(rèn)密碼,或要求進(jìn)行其他配置更改以增強(qiáng)產(chǎn)品安全性���。 確保發(fā)布的 CVE 包含識(shí)別漏洞根本原因的正確 CWE 字段��。
最終用戶組織: 及時(shí)給系統(tǒng)打補(bǔ)丁�����。注意:如果本 CSA 中確定的 CVE 尚未修補(bǔ)�,請(qǐng)首先檢查是否存在泄露跡象�。 實(shí)施集中式補(bǔ)丁管理系統(tǒng)。 使用安全工具��,例如端點(diǎn)檢測(cè)和響應(yīng) (EDR)����、Web 應(yīng)用程序防火墻和網(wǎng)絡(luò)協(xié)議分析器���。 要求您的軟件提供商討論他們的安全設(shè)計(jì)計(jì)劃����,并提供有關(guān)他們?nèi)绾蜗┒搭?lèi)別和設(shè)置安全默認(rèn)設(shè)置的信息鏈接。
技術(shù)細(xì)節(jié) 主要發(fā)現(xiàn)到 2022 年�,惡意網(wǎng)絡(luò)攻擊者利用舊軟件漏洞的頻率比最近披露的漏洞和針對(duì)未修補(bǔ)的面向互聯(lián)網(wǎng)的系統(tǒng)的頻率更高。許多軟件漏洞或漏洞鏈的概念驗(yàn)證 (PoC) 代碼是公開(kāi)可用的�����,這可能有助于更廣泛的惡意網(wǎng)絡(luò)行為者的利用���。 惡意網(wǎng)絡(luò)行為者通常在公開(kāi)披露的頭兩年內(nèi)最成功地利用已知漏洞——隨著軟件的修補(bǔ)或升級(jí)��,此類(lèi)漏洞的價(jià)值逐漸下降��。及時(shí)修補(bǔ)會(huì)降低已知可利用漏洞的有效性�����,可能會(huì)降低惡意網(wǎng)絡(luò)行為者的操作速度���,并迫使人們尋求成本更高、更耗時(shí)的方法(例如開(kāi)發(fā)零日漏洞或進(jìn)行軟件供應(yīng)鏈操作)��。 惡意網(wǎng)絡(luò)行為者可能會(huì)優(yōu)先開(kāi)發(fā)嚴(yán)重且全球流行的 CVE 漏洞。雖然經(jīng)驗(yàn)豐富的攻擊者還開(kāi)發(fā)了利用其他漏洞的工具�����,但開(kāi)發(fā)針對(duì)關(guān)鍵的�、廣泛傳播的和眾所周知的漏洞的漏洞,為攻擊者提供了可以使用數(shù)年的低成本�����、高影響力的工具�。此外,網(wǎng)絡(luò)攻擊者可能會(huì)對(duì)特定目標(biāo)網(wǎng)絡(luò)中更普遍的漏洞給予更高的優(yōu)先級(jí)�。多個(gè) CVE 或 CVE 鏈要求攻擊者向易受攻擊的設(shè)備發(fā)送惡意 Web 請(qǐng)求,該請(qǐng)求通常包含可通過(guò)深度數(shù)據(jù)包檢查檢測(cè)到的獨(dú)特簽名�。 最常被利用的漏洞表 1 顯示了合著者觀察到的惡意網(wǎng)絡(luò)攻擊者在 2022 年經(jīng)常利用的 12 個(gè)漏洞: CVE-2018-13379。該漏洞影響 Fortinet SSL VPN�����,在 2020 年和2021 年也經(jīng)常被利用��。持續(xù)的利用表明許多組織未能及時(shí)修補(bǔ)軟件�����,并且仍然容易受到惡意網(wǎng)絡(luò)攻擊者的攻擊。 CVE-2021-34473���、CVE-2021-31207、CVE-2021-34523���。這些漏洞稱(chēng)為 ProxyShell�����,影響 Microsoft Exchange 電子郵件服務(wù)器���。結(jié)合起來(lái),成功的利用使遠(yuǎn)程攻擊者能夠執(zhí)行任意代碼����。這些漏洞存在于 Microsoft 客戶端訪問(wèn)服務(wù) (CAS) 中,該服務(wù)通常在 Microsoft Internet 信息服務(wù) (IIS)(例如 Microsoft 的 Web 服務(wù)器)的端口 443 上運(yùn)行�����。CAS 通常暴露在互聯(lián)網(wǎng)上����,使用戶能夠通過(guò)移動(dòng)設(shè)備和 Web 瀏覽器訪問(wèn)其電子郵件�。 CVE-2021-40539����。該漏洞可在 Zoho ManageEngine ADSelfService Plus 中啟用未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行 (RCE),并且與過(guò)時(shí)的第三方依賴(lài)項(xiàng)的使用有關(guān)����。該漏洞的首次利用始于 2021 年底,并持續(xù)到 2022 年�。 CVE-2021-26084。該漏洞影響 Atlassian Confluence 服務(wù)器和數(shù)據(jù)中心(政府和私營(yíng)公司使用的基于網(wǎng)絡(luò)的協(xié)作工具)��,可能使未經(jīng)身份驗(yàn)證的網(wǎng)絡(luò)攻擊者能夠在易受攻擊的系統(tǒng)上執(zhí)行任意代碼����。該漏洞在 PoC 披露后一周內(nèi)發(fā)布,很快成為最常被利用的漏洞之一�����。2021 年 9 月觀察到有人試圖大規(guī)模利用此漏洞����。 CVE-2021-44228。此漏洞稱(chēng)為 Log4Shell,影響 Apache 的 Log4j 庫(kù)��,這是一個(gè)開(kāi)源日志框架���,已融入全球數(shù)千種產(chǎn)品中����。攻擊者可以通過(guò)向易受攻擊的系統(tǒng)提交特制請(qǐng)求來(lái)利用此漏洞��,從而導(dǎo)致執(zhí)行任意代碼�����。該請(qǐng)求允許網(wǎng)絡(luò)參與者完全控制系統(tǒng)����。然后���,攻擊者可以竊取信息�、啟動(dòng)勒索軟件或進(jìn)行其他惡意活動(dòng)��。[1 ] 惡意網(wǎng)絡(luò)攻擊者在 2021 年 12 月公開(kāi)披露該漏洞后開(kāi)始利用該漏洞�����,并在 2022 年上半年繼續(xù)對(duì) CVE-2021-44228 表現(xiàn)出高度興趣。 CVE-2022-22954�����、 CVE-2022-22960�����。這些漏洞允許在 VMware Workspace ONE Access�����、Identity Manager 和其他 VMware 產(chǎn)品中進(jìn)行 RCE�、權(quán)限提升和身份驗(yàn)證繞過(guò)。具有網(wǎng)絡(luò)訪問(wèn)權(quán)限的惡意網(wǎng)絡(luò)攻擊者可能會(huì)觸發(fā)服務(wù)器端模板注入����,從而可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。CVE-2022-22954 和 CVE-2022-22960 的利用于 2022 年初開(kāi)始�����,并在今年剩余時(shí)間內(nèi)繼續(xù)進(jìn)行嘗試����。 CVE-2022-1388�。此漏洞允許未經(jīng)身份驗(yàn)證的惡意網(wǎng)絡(luò)攻擊者繞過(guò) F5 BIG-IP 應(yīng)用程序交付和安全軟件上的iControl REST 身份驗(yàn)證�。 CVE-2022-30190。此漏洞影響 Windows 中的 Microsoft 支持診斷工具 (MSDT)�。未經(jīng)身份驗(yàn)證的遠(yuǎn)程網(wǎng)絡(luò)攻擊者可以利用此漏洞來(lái)控制受影響的系統(tǒng)。 CVE-2022-26134�。這個(gè)嚴(yán)重的 RCE 漏洞影響 Atlassian Confluence 和 Data Center。該漏洞最初可能是在 2022 年 6 月公開(kāi)披露之前作為零日漏洞被利用的�����,它與較早的 Confluence 漏洞 ( CVE-2021-26084 ) 相關(guān)����,網(wǎng)絡(luò)攻擊者也在 2022 年利用了該漏洞�。
|
