概括

以下網(wǎng)絡(luò)安全機(jī)構(gòu)共同撰寫了這份聯(lián)合網(wǎng)絡(luò)安全咨詢 (CSA)：

• 美國：網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA)、國家安全局 (NSA) 和聯(lián)邦調(diào)查局 (FBI)
• 澳大利亞：澳大利亞信號局的澳大利亞網(wǎng)絡(luò)安全中心 (ACSC)
• 加拿大：加拿大網(wǎng)絡(luò)安全中心 (CCCS)
• 新西蘭：新西蘭國家網(wǎng)絡(luò)安全中心 (NCSC-NZ) 和新西蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組 (CERT NZ)
• 英國：國家網(wǎng)絡(luò)安全中心（NCSC-UK）

此通報(bào)提供了有關(guān) 2022 年惡意網(wǎng)絡(luò)攻擊者經(jīng)常利用的常見漏洞和暴露 (CVE) 以及相關(guān)常見弱點(diǎn)枚舉 (CWE) 的詳細(xì)信息。到 2022 年，惡意網(wǎng)絡(luò)攻擊者利用舊軟件漏洞的頻率比最近披露的漏洞和針對未修補(bǔ)的面向互聯(lián)網(wǎng)的系統(tǒng)的頻率更高。

創(chuàng)作機(jī)構(gòu)強(qiáng)烈鼓勵供應(yīng)商、設(shè)計(jì)人員、開發(fā)人員和最終用戶組織實(shí)施本通報(bào)“緩解措施”部分中的建議（包括以下內(nèi)容），以降低惡意網(wǎng)絡(luò)行為者危害的風(fēng)險(xiǎn)。

• 供應(yīng)商、設(shè)計(jì)人員和開發(fā)人員：實(shí)施設(shè)計(jì)安全和默認(rèn)原則和策略，以減少軟件中漏洞的出現(xiàn)。

遵循安全軟件開發(fā)框架 (SSDF)（也稱為SP 800-218），并將安全設(shè)計(jì)實(shí)踐實(shí)施到軟件開發(fā)生命周期 (SDLC) 的每個階段。作為其中的一部分，建立一個協(xié)調(diào)的漏洞披露計(jì)劃，其中包括確定已發(fā)現(xiàn)漏洞的根本原因的流程。

優(yōu)先考慮默認(rèn)安全配置，例如消除默認(rèn)密碼，或要求進(jìn)行其他配置更改以增強(qiáng)產(chǎn)品安全性。

確保發(fā)布的 CVE 包含識別漏洞根本原因的正確 CWE 字段。

• 最終用戶組織：

及時給系統(tǒng)打補(bǔ)丁。注意：如果本 CSA 中確定的 CVE 尚未修補(bǔ)，請首先檢查是否存在泄露跡象。

實(shí)施集中式補(bǔ)丁管理系統(tǒng)。

使用安全工具，例如端點(diǎn)檢測和響應(yīng) (EDR)、Web 應(yīng)用程序防火墻和網(wǎng)絡(luò)協(xié)議分析器。

要求您的軟件提供商討論他們的安全設(shè)計(jì)計(jì)劃，并提供有關(guān)他們?nèi)绾蜗┒搭悇e和設(shè)置安全默認(rèn)設(shè)置的信息鏈接。

技術(shù)細(xì)節(jié)

主要發(fā)現(xiàn)

到 2022 年，惡意網(wǎng)絡(luò)攻擊者利用舊軟件漏洞的頻率比最近披露的漏洞和針對未修補(bǔ)的面向互聯(lián)網(wǎng)的系統(tǒng)的頻率更高。許多軟件漏洞或漏洞鏈的概念驗(yàn)證 (PoC) 代碼是公開可用的，這可能有助于更廣泛的惡意網(wǎng)絡(luò)行為者的利用。

惡意網(wǎng)絡(luò)行為者通常在公開披露的頭兩年內(nèi)最成功地利用已知漏洞——隨著軟件的修補(bǔ)或升級，此類漏洞的價(jià)值逐漸下降。及時修補(bǔ)會降低已知可利用漏洞的有效性，可能會降低惡意網(wǎng)絡(luò)行為者的操作速度，并迫使人們尋求成本更高、更耗時的方法（例如開發(fā)零日漏洞或進(jìn)行軟件供應(yīng)鏈操作）。

惡意網(wǎng)絡(luò)行為者可能會優(yōu)先開發(fā)嚴(yán)重且全球流行的 CVE 漏洞。雖然經(jīng)驗(yàn)豐富的攻擊者還開發(fā)了利用其他漏洞的工具，但開發(fā)針對關(guān)鍵的、廣泛傳播的和眾所周知的漏洞的漏洞，為攻擊者提供了可以使用數(shù)年的低成本、高影響力的工具。此外，網(wǎng)絡(luò)攻擊者可能會對特定目標(biāo)網(wǎng)絡(luò)中更普遍的漏洞給予更高的優(yōu)先級。多個 CVE 或 CVE 鏈要求攻擊者向易受攻擊的設(shè)備發(fā)送惡意 Web 請求，該請求通常包含可通過深度數(shù)據(jù)包檢查檢測到的獨(dú)特簽名。

最常被利用的漏洞

表 1 顯示了合著者觀察到的惡意網(wǎng)絡(luò)攻擊者在 2022 年經(jīng)常利用的 12 個漏洞：

• CVE-2018-13379。該漏洞影響 Fortinet SSL VPN，在 2020 年和2021 年也經(jīng)常被利用。持續(xù)的利用表明許多組織未能及時修補(bǔ)軟件，并且仍然容易受到惡意網(wǎng)絡(luò)攻擊者的攻擊。
• CVE-2021-34473、CVE-2021-31207、CVE-2021-34523。這些漏洞稱為 ProxyShell，影響 Microsoft Exchange 電子郵件服務(wù)器。結(jié)合起來，成功的利用使遠(yuǎn)程攻擊者能夠執(zhí)行任意代碼。這些漏洞存在于 Microsoft 客戶端訪問服務(wù) (CAS) 中，該服務(wù)通常在 Microsoft Internet 信息服務(wù) (IIS)（例如 Microsoft 的 Web 服務(wù)器）的端口 443 上運(yùn)行。CAS 通常暴露在互聯(lián)網(wǎng)上，使用戶能夠通過移動設(shè)備和 Web 瀏覽器訪問其電子郵件。
• CVE-2021-40539。該漏洞可在 Zoho ManageEngine ADSelfService Plus 中啟用未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行 (RCE)，并且與過時的第三方依賴項(xiàng)的使用有關(guān)。該漏洞的首次利用始于 2021 年底，并持續(xù)到 2022 年。
• CVE-2021-26084。該漏洞影響 Atlassian Confluence 服務(wù)器和數(shù)據(jù)中心（政府和私營公司使用的基于網(wǎng)絡(luò)的協(xié)作工具），可能使未經(jīng)身份驗(yàn)證的網(wǎng)絡(luò)攻擊者能夠在易受攻擊的系統(tǒng)上執(zhí)行任意代碼。該漏洞在 PoC 披露后一周內(nèi)發(fā)布，很快成為最常被利用的漏洞之一。2021 年 9 月觀察到有人試圖大規(guī)模利用此漏洞。
• CVE-2021-44228。此漏洞稱為 Log4Shell，影響 Apache 的 Log4j 庫，這是一個開源日志框架，已融入全球數(shù)千種產(chǎn)品中。攻擊者可以通過向易受攻擊的系統(tǒng)提交特制請求來利用此漏洞，從而導(dǎo)致執(zhí)行任意代碼。該請求允許網(wǎng)絡(luò)參與者完全控制系統(tǒng)。然后，攻擊者可以竊取信息、啟動勒索軟件或進(jìn)行其他惡意活動。[1 ] 惡意網(wǎng)絡(luò)攻擊者在 2021 年 12 月公開披露該漏洞后開始利用該漏洞，并在 2022 年上半年繼續(xù)對 CVE-2021-44228 表現(xiàn)出高度興趣。
• CVE-2022-22954、 CVE-2022-22960。這些漏洞允許在 VMware Workspace ONE Access、Identity Manager 和其他 VMware 產(chǎn)品中進(jìn)行 RCE、權(quán)限提升和身份驗(yàn)證繞過。具有網(wǎng)絡(luò)訪問權(quán)限的惡意網(wǎng)絡(luò)攻擊者可能會觸發(fā)服務(wù)器端模板注入，從而可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。CVE-2022-22954 和 CVE-2022-22960 的利用于 2022 年初開始，并在今年剩余時間內(nèi)繼續(xù)進(jìn)行嘗試。
• CVE-2022-1388。此漏洞允許未經(jīng)身份驗(yàn)證的惡意網(wǎng)絡(luò)攻擊者繞過 F5 BIG-IP 應(yīng)用程序交付和安全軟件上的iControl REST 身份驗(yàn)證。
• CVE-2022-30190。此漏洞影響 Windows 中的 Microsoft 支持診斷工具 (MSDT)。未經(jīng)身份驗(yàn)證的遠(yuǎn)程網(wǎng)絡(luò)攻擊者可以利用此漏洞來控制受影響的系統(tǒng)。
• CVE-2022-26134。這個嚴(yán)重的 RCE 漏洞影響 Atlassian Confluence 和 Data Center。該漏洞最初可能是在 2022 年 6 月公開披露之前作為零日漏洞被利用的，它與較早的 Confluence 漏洞 ( CVE-2021-26084 ) 相關(guān)，網(wǎng)絡(luò)攻擊者也在 2022 年利用了該漏洞。