CNVD 公開數(shù)據(jù)顯示，2022 年共披露安全漏洞 23900+枚，其中低風(fēng)險(xiǎn)漏洞占比11.13%，中高風(fēng)險(xiǎn)漏洞占比較約53.82%，高危漏洞占比35.05%。從數(shù)據(jù)可以看出，中高危漏洞占比近89%，如此風(fēng)險(xiǎn)程度的漏洞一旦被潛在網(wǎng)絡(luò)犯罪分子利用，會(huì)給企業(yè)組織帶來毀滅性打擊。

不僅僅漏洞數(shù)量和危害程度與日俱增，有漏洞的軟硬件占比也逐年增長(zhǎng)。新思科技發(fā)布的《2022年軟件漏洞快照》報(bào)告顯示，在其對(duì)2700多 個(gè) Web 應(yīng)用、移動(dòng)應(yīng)用、源代碼文件、軟件和網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全測(cè)試后，結(jié)果顯示 95% 的應(yīng)用中存在某種形式的安全漏洞。

中高危漏洞數(shù)量占比逐漸攀升主要原因無外乎企業(yè)安全預(yù)算和及重視程度難以匹配黑客技術(shù)迭代和應(yīng)用設(shè)備部署的數(shù)量，再加上人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的應(yīng)用，種種因素疊加，造成當(dāng)下漏洞數(shù)量、修補(bǔ)難度、危害程度和影響范圍都逐漸增長(zhǎng)的現(xiàn)狀。

安全人員證實(shí)安全漏洞數(shù)量是與應(yīng)用程序及軟硬件設(shè)備發(fā)布時(shí)間呈正相關(guān)。Veracode 分析結(jié)果顯示，32% 的應(yīng)用程序在第一次發(fā)布掃描時(shí)會(huì)出現(xiàn)漏洞，隨著時(shí)間推移漏洞積累越來越多。

本文從漏洞披露時(shí)間、危害程度、影響范圍等多個(gè)維度，盤點(diǎn)2022年高危漏洞TOP 10（排名不分先后）。

F5 BIG-IPF5 BIG-IP 訪問控制錯(cuò)誤漏洞

CVE編號(hào)：CVE-2022-1388

CVE-2022-1388 漏洞于2022年5月首次被披露， 存在于F5 BIG-IP軟硬件套件中的BIG-IP iControl REST身份驗(yàn)證組件，主要影響 BIG-IP 16.x: 16.1.0 - 16.1.2、BIG-IP 15.x: 15.1.0 - 15.1.5、BIG-IP 14.x: 14.1.0 - 14.1.4、BIG-IP 13.x: 13.1.0 - 13.1.4、BIG-IP 12.x: 12.1.0 - 12.1.6、BIG-IP 11.x: 11.6.1 - 11.6.5等幾個(gè)版本。

據(jù)悉，CVE-2022-1388漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過 BIG-IP 管理界面和自身IP地址對(duì) iControl REST API 接口進(jìn)行網(wǎng)絡(luò)訪問，進(jìn)而在目標(biāo)主機(jī)上執(zhí)行任意系統(tǒng)命令、創(chuàng)建或刪除文件或禁用BIG-IP上的服務(wù)。漏洞披露后，研究人員發(fā)現(xiàn)旨在擦除設(shè)備內(nèi)容或投放 web shell 惡意腳本的多起攻擊企圖利用該漏洞。

官方補(bǔ)丁：https://support.f5.com/csp/article/K23605346

Spring Framework 遠(yuǎn)程代碼執(zhí)行漏洞

CVE編號(hào)：CVE-2022-22965

springframework 是spring 里面的一個(gè)基礎(chǔ)開源框架，主要用于javaee的企業(yè)開發(fā)。2022年3月，Spring框架曝出追蹤為CVE-2022-22965的RCE 0day漏洞。安全研究人員發(fā)現(xiàn)，一旦攻擊者成功利用該漏洞，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，便可對(duì)目標(biāo)主機(jī)的后門文件寫入和配置修改，繼而通過后門文件訪問，獲得目標(biāo)主機(jī)權(quán)限，進(jìn)而攻擊整個(gè)系統(tǒng)。

目前受影響的Spring Framework的版本主要是Spring Framework 5.3.X < 5.3.18 和Spring Framework 5.2.X < 5.2.20。對(duì)于 CVE-2022-22965 漏洞必須加以重視，有證據(jù)表明其已經(jīng)變成網(wǎng)絡(luò)犯罪分子手里的武器，用于部署加密貨幣挖礦軟件，并且用在了使用臭名昭著的Mirai惡意軟件的僵尸網(wǎng)絡(luò)。

官方補(bǔ)?。篽ttps://tanzu.vmware.com/security/cve-2022-22965

Atlassian Con?fluence Server 注入漏洞

CVE編號(hào)：CVE-2022-26134

Atlassian Confluence是Atlassian公司出品的專業(yè)wiki程序，可以作為一個(gè)知識(shí)管理的工具，通過它能夠?qū)崿F(xiàn)團(tuán)隊(duì)成員之間的協(xié)作和知識(shí)共享。2022年6月3日，Atlassian發(fā)布官方公告，披露Atlassian Confluence中存在CVE-2022-26134遠(yuǎn)程代碼執(zhí)行漏洞。一旦未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者成功利用該漏洞，就能夠創(chuàng)建新的管理員帳戶、執(zhí)行命令并最終接管服務(wù)器。

主要受影響版本： 1.3.0 <= Confluence Server and Data Center < 7.4.17、7.13.0 <= Confluence Server and Data Center < 7.13.7、 7.14.0 <= Confluence Server and Data Center < 7.14.3、7.15.0 <= Confluence Server and Data Center < 7.15.2、7.16.0 <= Confluence Server and Data Center < 7.16.4、7.17.0 <= Confluence Server and Data Center < 7.17.4、7.18.0 <= Confluence Server and Data Center < 7.18.1。

官方補(bǔ)?。篽ttps://jira.atlassian.com/browse/CONFSERVER-79016

Apache Fineract 路徑遍歷漏洞

CVE編號(hào)：CVE-2022-44635

Apache Fineract是用于金融服務(wù)的開源軟件，旨在實(shí)現(xiàn)核心銀行系統(tǒng)平臺(tái)化建設(shè)。2022年11月，Apache發(fā)布安全公告表示Apache Fineract的文件上傳組件中存在路徑遍歷漏洞（CVE-2022-44635），未經(jīng)身份驗(yàn)證的攻擊者可利用漏洞遠(yuǎn)程執(zhí)行代碼。影響范圍：Apache Fineract <= 1.8.0（分支補(bǔ)丁版本1.7.1不受影響）

官方補(bǔ)丁：https://lists.apache.org/thread/t8q6fmh3o6yqmy69qtqxppk9yg9wfybg

Microsoft Windows Support Diagnostic Tool 操作系統(tǒng)命令注入漏洞

CVE編號(hào)：CVE-2022-30190

CVE-2022-30190于2022年5月被安全研究人員披露，是微軟Windows支持診斷工具（MSDT）中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，允許遠(yuǎn)程攻擊者在目標(biāo)系統(tǒng)上執(zhí)行任意shell命令。

漏洞公開披露后，安全研究人員觀察到多起涉及利用該漏洞的案例。此外，F(xiàn)ollina漏洞還被用來植入遠(yuǎn)程訪問工具，比如Qbot和AsyncRAT，并在Windows系統(tǒng)上部署后門。

官方補(bǔ)?。篽ttps://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

Google Chrome 資源管理錯(cuò)誤漏洞

CVE編號(hào)：CVE-2022-0609

CVE-2022-0609是Chrome 存在資源管理錯(cuò)誤漏洞，該漏洞源于谷歌Chrome中的動(dòng)畫組件內(nèi)的免費(fèi)使用后錯(cuò)誤。攻擊者可利用該漏洞創(chuàng)建一個(gè)特別制作的網(wǎng)頁，誘騙受害者訪問它，觸發(fā)使用后免費(fèi)錯(cuò)誤，并在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

目前，研究人員已發(fā)現(xiàn)兩起黑客活動(dòng)（名為“Operation Dream Job”和“Operation AppleJeus”）利用了該漏洞，這兩起黑客活動(dòng)攻擊美國(guó)的媒體、IT、加密貨幣和金融技術(shù)等行業(yè)的多家組織。

官方補(bǔ)?。篽ttps://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html

合勤科技 USG FLEX 操作系統(tǒng)命令注入漏洞

CVE編號(hào)：CVE-2022-30525

Zyxel USG FLEX是中國(guó)合勤科技（Zyxel）公司的一款防火墻,能夠提供靈活的 VPN 選項(xiàng)（IPsec、SSL 或 L2TP），為遠(yuǎn)程工作和管理提供靈活的安全遠(yuǎn)程訪問。2022年5月，安全研究人員發(fā)現(xiàn)USG FLEX 操作系統(tǒng)中存在安全漏洞，潛在攻擊者能夠利用該漏洞修改特定文件，在易受攻擊的設(shè)備上執(zhí)行一些操作系統(tǒng)命令。影響版本：合勤科技 USG FLEX 5.00版本至5.21版本。

官方補(bǔ)?。篽ttps://www.zyxel.com/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtml

Apache Commons BCEL 緩沖區(qū)錯(cuò)誤漏洞

CVE編號(hào)：CVE-2022-42920

Apache Commons BCEL是美國(guó)阿帕奇（Apache）基金會(huì)的一個(gè)字節(jié)代碼工程庫(kù)。旨在為用戶提供分析、創(chuàng)建和操作（二進(jìn)制）Java類的便捷方式。2022年11月，安全研究人員發(fā)現(xiàn) Apache Commons BCEL存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于存在越界寫入問題。

Apache Commons BCEL有許多API，通常只允許更改特定的類特征，但由于存在越界寫入問題，這些API可用于生成任意字節(jié)碼。 在將攻擊者可控制的數(shù)據(jù)傳遞給這些API的應(yīng)用程序中，這可能會(huì)被濫用，從而使攻擊者對(duì)生成的字節(jié)碼擁有比預(yù)期更多的控制權(quán)。

官方補(bǔ)?。篽ttps://lists.apache.org/thread/lfxk7q8qmnh5bt9jm6nmjlv5hsxjhrz4WordPress plugin

跨站請(qǐng)求偽造漏洞

CVE編號(hào)：CVE-2022-0215

WordPress是Wordpress基金會(huì)的一套使用PHP語言開發(fā)的博客平臺(tái)。該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站，WordPress plugin是其中的一個(gè)應(yīng)用插件。

2022年1月，安全人員發(fā)現(xiàn)WordPress 插件存在跨站請(qǐng)求偽造漏洞，追蹤為CVE-2022-0215，攻擊者可以更新站點(diǎn)上的任意選項(xiàng)，這些選項(xiàng)可用于創(chuàng)建管理用戶帳戶并授予對(duì)受感染站點(diǎn)的完全特權(quán)訪問權(quán)限。

官方補(bǔ)?。篽ttps://www.wordfence.com/blog/2022/01/84000-wordpress-sites-affected-by-three-plugins-with-the-same-vulnerability/

Fastjson 代碼問題漏洞

CVE編號(hào)：CVE-2022-42920

Fastjson是一款開源JSON解析庫(kù)，可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean。Fastjson被眾多java軟件作為組件集成，廣泛存在于java應(yīng)用的服務(wù)端代碼中。

2022年2月，安全研究人員發(fā)現(xiàn)Fastjson 1.2.83 之前版本中存在安全漏洞，該漏洞源于容易繞過默認(rèn)的 autoType 關(guān)閉限制來反序列化不受信任的數(shù)據(jù)，攻擊者利用此漏洞可在目標(biāo)服務(wù)器上實(shí)現(xiàn)任意代碼執(zhí)行，造成服務(wù)器權(quán)限被竊取、敏感信息泄漏等嚴(yán)重影響。

官方補(bǔ)?。篽ttps://github.com/alibaba/fastjson/wiki/security_update_20220523

結(jié)語

隨著互聯(lián)網(wǎng)和新興技術(shù)的快速發(fā)展，網(wǎng)絡(luò)攻擊變的愈來愈快速和復(fù)雜。2022年，高危漏洞數(shù)量延續(xù)增長(zhǎng)趨勢(shì)，企業(yè)安全的進(jìn)化難以跟上網(wǎng)絡(luò)攻擊的快速變化，供應(yīng)鏈和第三方風(fēng)險(xiǎn)不斷累積，漏洞優(yōu)先級(jí)排序和漏洞修補(bǔ)難度不斷加大，暴露面和攻擊面不斷擴(kuò)大，MTTR等關(guān)鍵安全運(yùn)營(yíng)指標(biāo)每況愈下，安全風(fēng)險(xiǎn)不斷攀升。

安全漏洞問題如此嚴(yán)峻，引起了社會(huì)廣泛關(guān)注。2021年7月，工業(yè)和信息化部、國(guó)家互聯(lián)網(wǎng)信息辦公室和公安部在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的基礎(chǔ)上，聯(lián)合印發(fā)了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，規(guī)范網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布等行為，促進(jìn)企業(yè)進(jìn)一步完善漏洞安全機(jī)制。