[[415550]]

近日，來自美國、英國和澳大利亞的多家網(wǎng)絡(luò)安全機(jī)構(gòu)發(fā)布的聯(lián)合安全公告揭示了過去兩年間被利用最多的30個安全漏洞。

與此同時，CISA、澳大利亞網(wǎng)絡(luò)安全中心(ACSC)、英國國家網(wǎng)絡(luò)安全中心(NCSC)和聯(lián)邦調(diào)查局(FBI)也分享了緩解措施，以幫助私營和公共部門組織應(yīng)對這些漏洞。

CISA網(wǎng)絡(luò)安全執(zhí)行助理總監(jiān)Eric Goldstein稱，

攻擊集中在遠(yuǎn)程工作、虛擬專用網(wǎng)、云技術(shù)

根據(jù)美國政府收集的數(shù)據(jù)顯示，自2020年初以來，去年的大多數(shù)Top目標(biāo)漏洞已被披露，這一趨勢源于COVID-19 大流行期間遠(yuǎn)程工作選項的擴(kuò)展。

CISA解釋說，

隨著威脅行為者利用向遠(yuǎn)程工作的轉(zhuǎn)變，2020年最常見的四個漏洞也主要針對居家辦公 (WFH)、虛擬專用網(wǎng)絡(luò) 或基于云的技術(shù)，如下表所示：

CISA補(bǔ)充道，

CISA、ACSC、NCSC和FBI評估全球公共和私營組織仍然易受這些CVE的危害。只要這些已知漏洞(例如影響Microsoft Office的CVE-2017-11882)仍然有效且系統(tǒng)未打補(bǔ)丁，惡意網(wǎng)絡(luò)攻擊者很可能會繼續(xù)利用它們實施攻擊。攻擊者對已知漏洞的使用使歸因復(fù)雜化，同時也降低了攻擊成本和被檢測到的風(fēng)險，因為他們沒有投資開發(fā)專供其使用的零日漏洞。

2020 CVEs VS 2021 CVEs

CISA、ACSC、NCSC和FBI已確定以下為 2020年以來惡意網(wǎng)絡(luò)攻擊者利用最多的漏洞：

【2020 Top CVEs】

根據(jù)美國政府的技術(shù)分析，在這些漏洞中，CVE-2019-19781是2020年被利用最多的漏洞。 CVE-2019-19781是最近披露的Citrix應(yīng)用交付控制器(ADC，一個用于Web的負(fù)載平衡應(yīng)用程序)中的一個關(guān)鍵漏洞。國家和網(wǎng)絡(luò)犯罪攻擊者最有可能喜歡使用此漏洞，因為它很容易被利用，Citrix服務(wù)器也很普遍，并且攻擊者可以利用該漏洞在目標(biāo)系統(tǒng)上執(zhí)行未經(jīng)授權(quán)的 遠(yuǎn)程代碼執(zhí)行(RCE)。

2020年初被確定為新興目標(biāo)的未修復(fù)的CVE-2019-19781和CVE-2019-11510 實例仍在繼續(xù)被民族國家高級持續(xù)威脅參與者所利用。就CVE-2019-11510 漏洞來說，它是Pulse Connect Secure vpn中的一個關(guān)鍵漏洞，攻擊者可以利用該漏洞竊取受感染Pulse vpn服務(wù)器上所有用戶的未加密憑據(jù)，并為受感染Pulse vpn服務(wù)器上的所有用戶保留未經(jīng)授權(quán)的憑據(jù)，并且可以在系統(tǒng)修補(bǔ)后保留未經(jīng)授權(quán)的訪問，除非更改所有受感染的憑據(jù)。

2021年，網(wǎng)絡(luò)攻擊者繼續(xù)瞄準(zhǔn)面向外部的設(shè)備中的漏洞。除了上面列出的2020 CVE之外，組織還應(yīng)優(yōu)先修補(bǔ)以下已知被利用的CVE：

• Microsoft Exchange：CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 和 CVE-2021-27065
• Pulse Secure: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899, and CVE-2021-22900
• Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104
• VMware: CVE-2021-21985
• Fortinet: CVE-2018-13379, CVE-2020-12812, and CVE-2019-5591

緩解建議

緩解許多漏洞最有效的最佳實踐之一是在補(bǔ)丁可用后盡快更新軟件版本。如果這無法實現(xiàn)，請考慮應(yīng)用臨時解決方法或其他緩解措施(如果供應(yīng)商提供)。如果組織無法在補(bǔ)丁發(fā)布后不久更新所有軟件，則優(yōu)先為已知被利用的CVE或可被最大數(shù)量的潛在攻擊者(例如面向互聯(lián)網(wǎng)的系統(tǒng))訪問的CVE實施補(bǔ)丁。

對于那些尚未修復(fù)這些漏洞的組織應(yīng)該檢查入侵跡象(IOC)，如果受到損害，請立即啟動事件響應(yīng)和恢復(fù)計劃。

將稀缺的網(wǎng)絡(luò)防御資源集中在修補(bǔ)網(wǎng)絡(luò)攻擊者最常使用的漏洞上，可以在阻礙對手行動的同時加強(qiáng)網(wǎng)絡(luò)安全性。 例如，2020 年的民族國家APT廣泛依賴于在Atlassian Crow中發(fā)現(xiàn)的單個RCE漏洞(CVE-2019-11580)，共同關(guān)注修補(bǔ)此漏洞可能會通過迫使參與者尋找替代方案而產(chǎn)生相對廣泛的影響，而替代方案可能對其目標(biāo)集沒有同樣廣泛的適用性。

此外，攻擊者通常會利用弱身份驗證過程，尤其是在面向外部的設(shè)備中。 組織應(yīng)該需要多因素身份驗證才能從外部來源遠(yuǎn)程訪問網(wǎng)絡(luò)，尤其是對于管理員或特權(quán)帳戶。

其他資源

(1) 免費網(wǎng)絡(luò)安全服務(wù)

CISA 提供多種免費的網(wǎng)絡(luò)衛(wèi)生漏洞掃描和Web應(yīng)用程序服務(wù)，通過采取主動方法來減輕攻擊媒介，幫助美國聯(lián)邦機(jī)構(gòu)、州和地方政府、關(guān)鍵基礎(chǔ)設(shè)施和私人組織減少面臨的威脅。

(2) Cyber Essentials

CISA 的 Cyber Essentials 是小型企業(yè)領(lǐng)導(dǎo)者和地方政府機(jī)構(gòu)領(lǐng)導(dǎo)者的指南，可幫助他們對于從何處開始實施企業(yè)網(wǎng)絡(luò)安全實踐形成可操作的見解。

(3) Cyber.gov.au

ACSC的網(wǎng)站提供有關(guān)如何保護(hù)個人和家庭、中小型企業(yè)、大型組織和基礎(chǔ)設(shè)施以及政府組織免受網(wǎng)絡(luò)威脅的建議和信息。

(4) ACSC Partnership Program

ACSC合作伙伴計劃使澳大利亞組織和個人能夠與ACSC和其他合作伙伴互動，利用集體見解、經(jīng)驗、技能和能力來提高整個澳大利亞經(jīng)濟(jì)的網(wǎng)絡(luò)彈性。

(5) NCSC 10 Steps

NCSC提供網(wǎng)絡(luò)安全的10 步驟，提供有關(guān)大中型組織如何管理其安全性的詳細(xì)指導(dǎo)。特別是在漏洞方面，NCSC指導(dǎo)組織建立有效的漏洞管理流程，重點是管理廣泛可用的軟件和硬件。

來源：bleepingcomputer