黑客攻擊變得一年比一年高級和復雜，因此現(xiàn)在追蹤了解安全漏洞比以往任何時候都來得重要。本文著重介紹了2022年惡意威脅分子利用的一些最危險的漏洞。

1. Follina（CVE- 2022 – 30190）

CVE-2022-30190（非正式名稱為“Follina”）在2022年5月被披露，它是微軟Windows支持診斷工具（MSDT）中的一個遠程代碼執(zhí)行漏洞，允許遠程攻擊者在目標系統(tǒng)上執(zhí)行任意shell命令。

自從該漏洞被公開披露以來，安全研究人員觀察到多起涉及利用該漏洞的案例，包括與俄羅斯政府有關的威脅分子（Sandworm、UAC-0098和APT28）針對烏克蘭的組織和政府機構發(fā)起的多次網絡釣魚攻擊，旨在用竊取信息的惡意軟件感染受害者，以及針對歐美政府的網絡間諜活動。Follina漏洞還被用來植入遠程訪問工具，比如Qbot和AsyncRAT，并在Windows系統(tǒng)上部署后門。

2. Log4Shell（CVE- 2021 – 44228）

盡管Log4Shell漏洞在2021年底才被披露，但它在最常被利用的漏洞排行榜中依然名列前茅，仍然是網絡犯罪分子在地下論壇上最常討論的漏洞之一。

CVE-2021-44228是一款廣受歡迎的Apache Log4j開源日志實用程序中的遠程代碼執(zhí)行漏洞。如果威脅分子利用了該漏洞，就可以向受影響的系統(tǒng)發(fā)送一個特別精心設計的命令，執(zhí)行惡意代碼，并操控受害者的機器。自2021年12月以來，現(xiàn)已修復的Log4Shell漏洞一直被多個威脅分子大肆利用，從加密貨幣挖礦軟件、DDoS僵尸網絡、勒索軟件團伙和初始訪問代理，到與伊朗、朝鮮和土耳其政府有關聯(lián)的政府撐腰的黑客，不一而足。

最近，有人觀察到威脅分子使用Log4Shell在未打補丁的、面向公眾的VMware Horizon和Unified Access Gateway（統(tǒng)一接入網關）服務器上部署惡意軟件。

3. Spring4Shell（CVE- 2022 – 22965）

CVE-2022-22965（Spring4Shell或SpringShell）是來自VMware的一種廣泛使用的開源Java框架Spring Framework中的遠程代碼執(zhí)行漏洞，以上面提到的Log4Shell漏洞命名。一旦攻擊者實現(xiàn)了遠程代碼執(zhí)行，就可以安裝惡意軟件，或者利用受影響的服務器作為初始立足點，以提升權限，進而攻擊整個系統(tǒng)。

雖然Spring4Shell不像Log4Shell那么普遍，也不容易被利用，但眾多組織不應該輕視該漏洞，因為它已經變成了網絡犯罪分子手里的武器，用于部署加密貨幣挖礦軟件，并且用在了使用臭名昭著的Mirai惡意軟件的僵尸網絡。

4. F5 BIG-IP（CVE-2022-1388）

CVE-2022-1388于2022年5月首次被披露，是另一個值得關注的嚴重漏洞。該漏洞影響F5 BIG-IP軟硬件套件中的BIG-IP iControl REST身份驗證組件；一旦被利用，允許未經身份驗證的攻擊者以“root”權限在BIG-IP網絡設備上執(zhí)行命令。在過去的幾個月里，研究人員發(fā)現(xiàn)了旨在擦除設備內容或投放web shell惡意腳本的多起攻擊企圖利用該漏洞。

5. 谷歌Chrome零日漏洞（CVE-2022-0609）

現(xiàn)已得到修補的CVE-2022-0609是谷歌Chrome的動畫組件中的遠程代碼執(zhí)行漏洞，兩起獨立的與朝鮮有關的黑客活動（名為“Operation Dream Job”和“Operation AppleJeus”）利用了該漏洞，這兩起黑客活動攻擊美國的媒體、IT、加密貨幣和金融技術等行業(yè)的多家組織。

6. 微軟Office漏洞（CVE-2017-11882）

古老的微軟Office遠程代碼執(zhí)行漏洞（CVE-2017-11882）于2017年首次被披露，至今仍是黑客論壇上最熱議的漏洞之一。雖然微軟在近五年前就發(fā)布了CVE-2017-11882的官方補丁，但許多組織依然沒有打上補丁，這給企圖趁虛而入的網絡犯罪分子提供了可趁之機。在最近的一個案例中，威脅分子利用這個未打補丁的漏洞來部署SmokeLoader惡意軟件，以便投放其他惡意軟件，比如TrickBot。

7. ProxyNotShell（CVE-2022-41082和CVE-2022-41040）

ProxyNotShell指兩個分別被編號為CVE-2022-41082和CVE-2022-41040的高危漏洞，允許訪問PowerShell Remoting的遠程用戶在易受攻擊的Exchange系統(tǒng)上執(zhí)行任意代碼或執(zhí)行SSRF攻擊。這兩個漏洞于2022年9月首次被披露，據稱被黑客利用了數(shù)月。微軟證實，黑客們利用ProxyNotShell漏洞，在被攻擊的Exchange服務器上部署了China Chopper web shell惡意腳本。這兩個漏洞在微軟發(fā)布的11月周二補丁包中都已得到了解決。

8. Zimbra協(xié)作套件漏洞（CVE-2022-27925和CVE-2022-41352）

今年早些時候，安全研究人員向公眾披露了影響一種廣泛使用的電子郵件和協(xié)議平臺：Zimbra協(xié)作套件（ZCS）的兩個漏洞（CVE-2022-27925和CVE-2022-41352）。CVE-2022-27925允許實現(xiàn)遠程代碼執(zhí)行，而CVE-2022-41352可以被用來將任意文件上傳到易受攻擊的實例。在2022年7月至10月期間，研究人員發(fā)現(xiàn)了多起攻擊，包括政府撐腰的黑客利用這些漏洞入侵了全球成千上萬臺ZCS服務器。

9. Atlassian Confluence RCE漏洞（CVE-2022-26134）

運行Atlassian Confluence軟件的服務器對網絡犯罪分子來說之所以是誘人的目標，是由于如果不打補丁，它們可能提供對企業(yè)網絡的初始訪問，因此保護它們顯得至關重要。6月份，包括Kinsing、Hezb和Dark在內的幾個僵尸網絡使用Atlassian Confluence的遠程執(zhí)行漏洞（CVE-2022-26134），在未打補丁的安裝系統(tǒng)上部署挖掘加密貨幣的惡意軟件。

10. Zyxel RCE漏洞（CVE-2022-30525）

另一個值得注意的嚴重漏洞就是CVE-2022-30525，這個操作系統(tǒng)命令注入漏洞影響眾多企業(yè)的Zyxel防火墻和VPN設備。一旦成功利用該漏洞，攻擊者可以在不需要驗證身份的情況下遠程注入任意命令?？紤]到這個安全問題的嚴重性以及可能帶來的破壞，美國國家安全局（NSA）網絡安全主任Rob Joyce發(fā)推文警告用戶有人企圖利用該漏洞，敦促用戶更新易受攻擊的Zyxel軟件。