黑客攻擊變得一年比一年高級(jí)和復(fù)雜，因此現(xiàn)在追蹤了解安全漏洞比以往任何時(shí)候都來(lái)得重要。本文著重介紹了2022年惡意威脅分子利用的一些最危險(xiǎn)的漏洞。

1. Follina（CVE- 2022 – 30190）

CVE-2022-30190（非正式名稱(chēng)為“Follina”）在2022年5月被披露，它是微軟Windows支持診斷工具（MSDT）中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，允許遠(yuǎn)程攻擊者在目標(biāo)系統(tǒng)上執(zhí)行任意shell命令。

自從該漏洞被公開(kāi)披露以來(lái)，安全研究人員觀(guān)察到多起涉及利用該漏洞的案例，包括與俄羅斯政府有關(guān)的威脅分子（Sandworm、UAC-0098和APT28）針對(duì)烏克蘭的組織和政府機(jī)構(gòu)發(fā)起的多次網(wǎng)絡(luò)釣魚(yú)攻擊，旨在用竊取信息的惡意軟件感染受害者，以及針對(duì)歐美政府的網(wǎng)絡(luò)間諜活動(dòng)。Follina漏洞還被用來(lái)植入遠(yuǎn)程訪(fǎng)問(wèn)工具，比如Qbot和AsyncRAT，并在Windows系統(tǒng)上部署后門(mén)。

2. Log4Shell（CVE- 2021 – 44228）

盡管Log4Shell漏洞在2021年底才被披露，但它在最常被利用的漏洞排行榜中依然名列前茅，仍然是網(wǎng)絡(luò)犯罪分子在地下論壇上最常討論的漏洞之一。

CVE-2021-44228是一款廣受歡迎的Apache Log4j開(kāi)源日志實(shí)用程序中的遠(yuǎn)程代碼執(zhí)行漏洞。如果威脅分子利用了該漏洞，就可以向受影響的系統(tǒng)發(fā)送一個(gè)特別精心設(shè)計(jì)的命令，執(zhí)行惡意代碼，并操控受害者的機(jī)器。自2021年12月以來(lái)，現(xiàn)已修復(fù)的Log4Shell漏洞一直被多個(gè)威脅分子大肆利用，從加密貨幣挖礦軟件、DDoS僵尸網(wǎng)絡(luò)、勒索軟件團(tuán)伙和初始訪(fǎng)問(wèn)代理，到與伊朗、朝鮮和土耳其政府有關(guān)聯(lián)的政府撐腰的黑客，不一而足。

最近，有人觀(guān)察到威脅分子使用Log4Shell在未打補(bǔ)丁的、面向公眾的VMware Horizon和Unified Access Gateway（統(tǒng)一接入網(wǎng)關(guān)）服務(wù)器上部署惡意軟件。

3. Spring4Shell（CVE- 2022 – 22965）

CVE-2022-22965（Spring4Shell或SpringShell）是來(lái)自VMware的一種廣泛使用的開(kāi)源Java框架Spring Framework中的遠(yuǎn)程代碼執(zhí)行漏洞，以上面提到的Log4Shell漏洞命名。一旦攻擊者實(shí)現(xiàn)了遠(yuǎn)程代碼執(zhí)行，就可以安裝惡意軟件，或者利用受影響的服務(wù)器作為初始立足點(diǎn)，以提升權(quán)限，進(jìn)而攻擊整個(gè)系統(tǒng)。

雖然Spring4Shell不像Log4Shell那么普遍，也不容易被利用，但眾多組織不應(yīng)該輕視該漏洞，因?yàn)樗呀?jīng)變成了網(wǎng)絡(luò)犯罪分子手里的武器，用于部署加密貨幣挖礦軟件，并且用在了使用臭名昭著的Mirai惡意軟件的僵尸網(wǎng)絡(luò)。

4. F5 BIG-IP（CVE-2022-1388）

CVE-2022-1388于2022年5月首次被披露，是另一個(gè)值得關(guān)注的嚴(yán)重漏洞。該漏洞影響F5 BIG-IP軟硬件套件中的BIG-IP iControl REST身份驗(yàn)證組件；一旦被利用，允許未經(jīng)身份驗(yàn)證的攻擊者以“root”權(quán)限在BIG-IP網(wǎng)絡(luò)設(shè)備上執(zhí)行命令。在過(guò)去的幾個(gè)月里，研究人員發(fā)現(xiàn)了旨在擦除設(shè)備內(nèi)容或投放web shell惡意腳本的多起攻擊企圖利用該漏洞。

5. 谷歌Chrome零日漏洞（CVE-2022-0609）

現(xiàn)已得到修補(bǔ)的CVE-2022-0609是谷歌Chrome的動(dòng)畫(huà)組件中的遠(yuǎn)程代碼執(zhí)行漏洞，兩起獨(dú)立的與朝鮮有關(guān)的黑客活動(dòng)（名為“Operation Dream Job”和“Operation AppleJeus”）利用了該漏洞，這兩起黑客活動(dòng)攻擊美國(guó)的媒體、IT、加密貨幣和金融技術(shù)等行業(yè)的多家組織。

6. 微軟Office漏洞（CVE-2017-11882）

古老的微軟Office遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-11882）于2017年首次被披露，至今仍是黑客論壇上最熱議的漏洞之一。雖然微軟在近五年前就發(fā)布了CVE-2017-11882的官方補(bǔ)丁，但許多組織依然沒(méi)有打上補(bǔ)丁，這給企圖趁虛而入的網(wǎng)絡(luò)犯罪分子提供了可趁之機(jī)。在最近的一個(gè)案例中，威脅分子利用這個(gè)未打補(bǔ)丁的漏洞來(lái)部署SmokeLoader惡意軟件，以便投放其他惡意軟件，比如TrickBot。

7. ProxyNotShell（CVE-2022-41082和CVE-2022-41040）

ProxyNotShell指兩個(gè)分別被編號(hào)為CVE-2022-41082和CVE-2022-41040的高危漏洞，允許訪(fǎng)問(wèn)PowerShell Remoting的遠(yuǎn)程用戶(hù)在易受攻擊的Exchange系統(tǒng)上執(zhí)行任意代碼或執(zhí)行SSRF攻擊。這兩個(gè)漏洞于2022年9月首次被披露，據(jù)稱(chēng)被黑客利用了數(shù)月。微軟證實(shí)，黑客們利用ProxyNotShell漏洞，在被攻擊的Exchange服務(wù)器上部署了China Chopper web shell惡意腳本。這兩個(gè)漏洞在微軟發(fā)布的11月周二補(bǔ)丁包中都已得到了解決。

8. Zimbra協(xié)作套件漏洞（CVE-2022-27925和CVE-2022-41352）

今年早些時(shí)候，安全研究人員向公眾披露了影響一種廣泛使用的電子郵件和協(xié)議平臺(tái)：Zimbra協(xié)作套件（ZCS）的兩個(gè)漏洞（CVE-2022-27925和CVE-2022-41352）。CVE-2022-27925允許實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，而CVE-2022-41352可以被用來(lái)將任意文件上傳到易受攻擊的實(shí)例。在2022年7月至10月期間，研究人員發(fā)現(xiàn)了多起攻擊，包括政府撐腰的黑客利用這些漏洞入侵了全球成千上萬(wàn)臺(tái)ZCS服務(wù)器。

9. Atlassian Confluence RCE漏洞（CVE-2022-26134）

運(yùn)行Atlassian Confluence軟件的服務(wù)器對(duì)網(wǎng)絡(luò)犯罪分子來(lái)說(shuō)之所以是誘人的目標(biāo)，是由于如果不打補(bǔ)丁，它們可能提供對(duì)企業(yè)網(wǎng)絡(luò)的初始訪(fǎng)問(wèn)，因此保護(hù)它們顯得至關(guān)重要。6月份，包括Kinsing、Hezb和Dark在內(nèi)的幾個(gè)僵尸網(wǎng)絡(luò)使用Atlassian Confluence的遠(yuǎn)程執(zhí)行漏洞（CVE-2022-26134），在未打補(bǔ)丁的安裝系統(tǒng)上部署挖掘加密貨幣的惡意軟件。

10. Zyxel RCE漏洞（CVE-2022-30525）

另一個(gè)值得注意的嚴(yán)重漏洞就是CVE-2022-30525，這個(gè)操作系統(tǒng)命令注入漏洞影響眾多企業(yè)的Zyxel防火墻和VPN設(shè)備。一旦成功利用該漏洞，攻擊者可以在不需要驗(yàn)證身份的情況下遠(yuǎn)程注入任意命令?？紤]到這個(gè)安全問(wèn)題的嚴(yán)重性以及可能帶來(lái)的破壞，美國(guó)國(guó)家安全局（NSA）網(wǎng)絡(luò)安全主任Rob Joyce發(fā)推文警告用戶(hù)有人企圖利用該漏洞，敦促用戶(hù)更新易受攻擊的Zyxel軟件。