對于所有的0day，定制的惡意軟件和其他完全未知的安全漏洞，它們已經(jīng)存在多年并被廣泛利用。為了更好地表明這一點，美國聯(lián)邦調(diào)查局(FBI)、美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)、澳大利亞網(wǎng)絡(luò)安全中心(ACSC)和英國國家網(wǎng)絡(luò)安全中心(NCSC)發(fā)布了聯(lián)合網(wǎng)絡(luò)安全咨詢。在這份報告中，他們列出了2020年和2021年使用的30大漏洞。

盡管軟件供應(yīng)商和開發(fā)人員盡了最大努力，但其中許多漏洞已經(jīng)存在多年。如Microsoft 的Print Spooler中的“PrintNightmare”漏洞表明，僅僅因為某些事情已知并不意味著它很容易被解決。

Accellion

在查看此列表時請記住，本文中的每個漏洞在某些時候都被認(rèn)為是“關(guān)鍵的”，而且它們都被廣泛使用。因此，所有這些的主要結(jié)論是，如果你正在使用這里列出的產(chǎn)品，請確保立即打補丁。

這里提到的FTA服務(wù)器主要用于傳輸非常大的文件。該程序自2018年以來一直處于更新狀態(tài)，已經(jīng)更新了20多年。自 2021年4月30日起，該程序被視為生命周期結(jié)束，由他們的Kiteworks軟件接管。上述四個漏洞都在同一個包中公布，每個都是不同的漏洞類型。

Qualys 是受此漏洞影響的知名組織之一，其DMZ中的FTA服務(wù)器遭到破壞。

Atlassian

Confluence服務(wù)器是一個wiki風(fēng)格的協(xié)作環(huán)境。通過在易受攻擊的軟件版本中利用“小部件連接器宏”，惡意用戶將能夠瀏覽服務(wù)器上的目錄、部署模板并實現(xiàn)遠(yuǎn)程代碼執(zhí)行。

這一特殊漏洞已被用于部署加密貨幣挖掘軟件和勒索軟件。

Crowd和Crowd Data Center都是身份管理系統(tǒng)，提供單點登錄服務(wù)，可以通過一個中央提供商幫助跨多個平臺進行身份驗證。這些程序的產(chǎn)品版本默認(rèn)情況下錯誤地啟用了一個名為pdkinstall的開發(fā)插件。通過這個漏洞，惡意用戶可以安裝他們的插件，從而創(chuàng)建遠(yuǎn)程代碼執(zhí)行場景。

Citrix

在2019冠狀病毒病(COVID-19)大流行期間，人們迅速轉(zhuǎn)向遠(yuǎn)程工作，在許多情況下，這是意外的。這意味著許多組織在未完全配置的狀態(tài)下部署了可能未經(jīng)測試的遠(yuǎn)程訪問系統(tǒng)。因此，這一漏洞是2020年被利用最多的漏洞。

卡內(nèi)基梅隆大學(xué)(Carnegie Mellon University)的研究人員能夠證明，該軟件不限制訪問名為“Virtual Private Network”的目錄中的特定腳本部分，該目錄可以通過目錄遍歷訪問。一旦它們在這個目錄中，它們就可以執(zhí)行其設(shè)計的遠(yuǎn)程代碼執(zhí)行。

Drupal

Drupal被許多人用作網(wǎng)站和wiki的內(nèi)容管理系統(tǒng) (CMS)。該漏洞涉及 Drupal 請求參數(shù)的方式。根據(jù)Tenable的說法，惡意用戶可以使用它來將有效負(fù)載部署到系統(tǒng)而無需輸入滅菌，因為它接受數(shù)組中的參數(shù)。

有可能同時利用應(yīng)用程序和主機操作系統(tǒng)。盡管問題很嚴(yán)重，但仍有許多未打補丁的系統(tǒng)，盡管自 2018 年年中以來已有補丁可用。

可以同時利用應(yīng)用程序和主機操作系統(tǒng)。盡管這個問題很嚴(yán)重，而且自2018年年中以來已經(jīng)有了補丁，但仍然有許多系統(tǒng)沒有補丁。

F5

BIG-IP提供負(fù)載均衡、防火墻功能和DNS服務(wù)。通過該漏洞，惡意用戶將能夠訪問應(yīng)用程序的配置功能，以及他們選擇的運行代碼。

然而，像許多其他配置工具一樣，只允許從特定的ip訪問上層控制提供了一個快速的解決方案。與此同時，啟用了永久修復(fù)——這一點對于多個供應(yīng)商來說非常重要。

Fortinet

與上面報道的Citrix的原因類似，F(xiàn)ortinet的SSL Virtual Private Network產(chǎn)品在2020年的使用出現(xiàn)爆炸式增長，使其成為攻擊者非常誘人的目標(biāo)。所有這三個問題都圍繞著遠(yuǎn)程訪問提供。

2018年漏洞允許惡意用戶從 FortiOS 門戶網(wǎng)站移動到包含系統(tǒng)文件的目錄，但不一定要上傳自己的。雖然這聽起來不一定像其他一些漏洞那么糟糕，但據(jù)認(rèn)為這一發(fā)現(xiàn)的研究人員稱，它允許“預(yù)授權(quán)任意文件讀取”，或者更具體地說，他們可能會讀取密碼數(shù)據(jù)庫和其他敏感數(shù)據(jù)。

2019年漏洞可能允許同一本地子網(wǎng)的用戶模擬LDAP身份驗證服務(wù)器，并可能獲取敏感數(shù)據(jù)?；ヂ?lián)網(wǎng)安全與研究集團(Internet Security and Research Group)詹姆斯·倫肯(James Renken)是該漏洞的發(fā)現(xiàn)者之一，他重申，如果在多個地點使用被盜的憑證，訪問可能會迅速傳播。

2020年漏洞，如果用戶更改用戶名的大小寫，可能允許用戶繞過雙因素認(rèn)證要求。例如，如果惡意用戶利用2018漏洞獲取證書，他們就可以利用該漏洞獲得完全訪問權(quán)，而不需要2FA令牌。

Microsoft

 

Microsoft 的 Windows 操作系統(tǒng)、Office 生產(chǎn)力軟件、Sharepoint 內(nèi)容管理系統(tǒng)和 Exchange 電子郵件服務(wù)器產(chǎn)品為許多企業(yè)提供支持。 2017 Office漏洞允許惡意用戶將文件分發(fā)給合法用戶，然后在Office 套件程序或獨立的寫字板應(yīng)用程序中打開該文件。一旦用戶打開文件，惡意用戶希望的任何代碼都將以登錄用戶的權(quán)限運行。這在概念上與 2019 Sharepoint 漏洞非常相似，其中代碼可以作為 Sharepoint 應(yīng)用程序池和服務(wù)器場帳戶的憑據(jù)運行。

后臺智能傳輸服務(wù) (BITS)為Windows提供了大量的更新功能。利用這個漏洞，已經(jīng)可以訪問系統(tǒng)的惡意用戶可以提升他們的權(quán)限來控制整個本地計算機。

Netlogon允許對屬于Microsoft的Active Directory域結(jié)構(gòu)的用戶和計算機進行身份驗證。利用該漏洞可能允許某人冒充域控制器并可能獲得域管理員權(quán)限。

2020 Exchange 漏洞是由 Exchange 2019 中的 Exchange 控制面板 Web 應(yīng)用程序問題引起的。該問題與加密密鑰有關(guān)，特別是它在安裝時不會生成新密鑰。如果惡意用戶有權(quán)訪問默認(rèn)密鑰，他們可能會導(dǎo)致 Exchange 解密其數(shù)據(jù)。這可以創(chuàng)建一個遠(yuǎn)程代碼執(zhí)行系統(tǒng)-服務(wù)器上的最高權(quán)限級別。

另一方面，2021年的Exchange漏洞是攻擊鏈的一部分。根據(jù)微軟公司客戶安全和信任副總裁Tom Burt的博客文章，該攻擊包含三個步驟：“首先，它會通過竊取的密碼或利用之前未發(fā)現(xiàn)的漏洞將自己偽裝成有權(quán)訪問的人。其次，它會創(chuàng)建所謂的web shell 來遠(yuǎn)程控制受感染的服務(wù)器。最后，它會使用遠(yuǎn)程訪問。”

MobileIron

MobileIron 提供了許多處理移動設(shè)備管理的服務(wù)。Devcore 的 Orange Tsai 再次在 MobileIron Core產(chǎn)品中發(fā)現(xiàn)了一個漏洞，該漏洞可能允許惡意用戶在未經(jīng)身份驗證的情況下執(zhí)行其代碼。

Pulse Secure

Pulse Secure的Connect Secure是SSL Virtual Private Network的一種形式，我們已經(jīng)在這個列表中多次看到。2019年漏洞可能允許未經(jīng)身份驗證的用戶讀取通過Virtual Private Network傳輸?shù)奈募?，獲得對純文本憑證的訪問，并在客戶端連接到Virtual Private Network服務(wù)器時執(zhí)行命令。

2021漏洞可能允許未經(jīng)身份驗證的用戶通過根級訪問在Virtual Private Network網(wǎng)關(guān)本身上運行他們的代碼。

Telerik

 

 

Telerik的ASP.NET AJAX UI允許快速創(chuàng)建和部署Web表單。此漏洞在概念上類似于Exchange解密漏洞。如果惡意用戶可以通過其他漏洞或其他方式訪問加密密鑰，他們就可以在服務(wù)器上運行自己的代碼。

VMWare

VMWare允許在主機操作系統(tǒng)之上運行虛擬機，vSphere 是它們的主要管理界面。第一個漏洞是由于默認(rèn)啟用的插件上沒有輸入驗證。因此，用戶可以在主機操作系統(tǒng)上運行他們的代碼。第二個漏洞也涉及插件，但不同的是，在不需要驗證的情況下，它允許用戶執(zhí)行受影響的插件通常可以執(zhí)行的任何操作。

文章來源：

https://resources.infosecinstitute.com/topic/top-30-most-exploited-software-vulnerabilities-being-used-today/