概括

以下網(wǎng)絡安全機構共同撰寫了這份聯(lián)合網(wǎng)絡安全咨詢 (CSA)：

• 美國：網(wǎng)絡安全和基礎設施安全局 (CISA)、國家安全局 (NSA) 和聯(lián)邦調查局 (FBI)
• 澳大利亞：澳大利亞信號局的澳大利亞網(wǎng)絡安全中心 (ACSC)
• 加拿大：加拿大網(wǎng)絡安全中心 (CCCS)
• 新西蘭：新西蘭國家網(wǎng)絡安全中心 (NCSC-NZ) 和新西蘭計算機應急響應小組 (CERT NZ)
• 英國：國家網(wǎng)絡安全中心（NCSC-UK）

此通報提供了有關 2022 年惡意網(wǎng)絡攻擊者經(jīng)常利用的常見漏洞和暴露 (CVE) 以及相關常見弱點枚舉 (CWE) 的詳細信息。到 2022 年，惡意網(wǎng)絡攻擊者利用舊軟件漏洞的頻率比最近披露的漏洞和針對未修補的面向互聯(lián)網(wǎng)的系統(tǒng)的頻率更高。

創(chuàng)作機構強烈鼓勵供應商、設計人員、開發(fā)人員和最終用戶組織實施本通報“緩解措施”部分中的建議（包括以下內容），以降低惡意網(wǎng)絡行為者危害的風險。

• 供應商、設計人員和開發(fā)人員：實施設計安全和默認原則和策略，以減少軟件中漏洞的出現(xiàn)。

遵循安全軟件開發(fā)框架 (SSDF)（也稱為SP 800-218），并將安全設計實踐實施到軟件開發(fā)生命周期 (SDLC) 的每個階段。作為其中的一部分，建立一個協(xié)調的漏洞披露計劃，其中包括確定已發(fā)現(xiàn)漏洞的根本原因的流程。

優(yōu)先考慮默認安全配置，例如消除默認密碼，或要求進行其他配置更改以增強產(chǎn)品安全性。

確保發(fā)布的 CVE 包含識別漏洞根本原因的正確 CWE 字段。

• 最終用戶組織：

及時給系統(tǒng)打補丁。注意：如果本 CSA 中確定的 CVE 尚未修補，請首先檢查是否存在泄露跡象。

實施集中式補丁管理系統(tǒng)。

使用安全工具，例如端點檢測和響應 (EDR)、Web 應用程序防火墻和網(wǎng)絡協(xié)議分析器。

要求您的軟件提供商討論他們的安全設計計劃，并提供有關他們如何消除漏洞類別和設置安全默認設置的信息鏈接。

技術細節(jié)

主要發(fā)現(xiàn)

到 2022 年，惡意網(wǎng)絡攻擊者利用舊軟件漏洞的頻率比最近披露的漏洞和針對未修補的面向互聯(lián)網(wǎng)的系統(tǒng)的頻率更高。許多軟件漏洞或漏洞鏈的概念驗證 (PoC) 代碼是公開可用的，這可能有助于更廣泛的惡意網(wǎng)絡行為者的利用。

惡意網(wǎng)絡行為者通常在公開披露的頭兩年內最成功地利用已知漏洞——隨著軟件的修補或升級，此類漏洞的價值逐漸下降。及時修補會降低已知可利用漏洞的有效性，可能會降低惡意網(wǎng)絡行為者的操作速度，并迫使人們尋求成本更高、更耗時的方法（例如開發(fā)零日漏洞或進行軟件供應鏈操作）。

惡意網(wǎng)絡行為者可能會優(yōu)先開發(fā)嚴重且全球流行的 CVE 漏洞。雖然經(jīng)驗豐富的攻擊者還開發(fā)了利用其他漏洞的工具，但開發(fā)針對關鍵的、廣泛傳播的和眾所周知的漏洞的漏洞，為攻擊者提供了可以使用數(shù)年的低成本、高影響力的工具。此外，網(wǎng)絡攻擊者可能會對特定目標網(wǎng)絡中更普遍的漏洞給予更高的優(yōu)先級。多個 CVE 或 CVE 鏈要求攻擊者向易受攻擊的設備發(fā)送惡意 Web 請求，該請求通常包含可通過深度數(shù)據(jù)包檢查檢測到的獨特簽名。

最常被利用的漏洞

表 1 顯示了合著者觀察到的惡意網(wǎng)絡攻擊者在 2022 年經(jīng)常利用的 12 個漏洞：

• CVE-2018-13379。該漏洞影響 Fortinet SSL VPN，在 2020 年和2021 年也經(jīng)常被利用。持續(xù)的利用表明許多組織未能及時修補軟件，并且仍然容易受到惡意網(wǎng)絡攻擊者的攻擊。
• CVE-2021-34473、CVE-2021-31207、CVE-2021-34523。這些漏洞稱為 ProxyShell，影響 Microsoft Exchange 電子郵件服務器。結合起來，成功的利用使遠程攻擊者能夠執(zhí)行任意代碼。這些漏洞存在于 Microsoft 客戶端訪問服務 (CAS) 中，該服務通常在 Microsoft Internet 信息服務 (IIS)（例如 Microsoft 的 Web 服務器）的端口 443 上運行。CAS 通常暴露在互聯(lián)網(wǎng)上，使用戶能夠通過移動設備和 Web 瀏覽器訪問其電子郵件。
• CVE-2021-40539。該漏洞可在 Zoho ManageEngine ADSelfService Plus 中啟用未經(jīng)身份驗證的遠程代碼執(zhí)行 (RCE)，并且與過時的第三方依賴項的使用有關。該漏洞的首次利用始于 2021 年底，并持續(xù)到 2022 年。
• CVE-2021-26084。該漏洞影響 Atlassian Confluence 服務器和數(shù)據(jù)中心（政府和私營公司使用的基于網(wǎng)絡的協(xié)作工具），可能使未經(jīng)身份驗證的網(wǎng)絡攻擊者能夠在易受攻擊的系統(tǒng)上執(zhí)行任意代碼。該漏洞在 PoC 披露后一周內發(fā)布，很快成為最常被利用的漏洞之一。2021 年 9 月觀察到有人試圖大規(guī)模利用此漏洞。
• CVE-2021-44228。此漏洞稱為 Log4Shell，影響 Apache 的 Log4j 庫，這是一個開源日志框架，已融入全球數(shù)千種產(chǎn)品中。攻擊者可以通過向易受攻擊的系統(tǒng)提交特制請求來利用此漏洞，從而導致執(zhí)行任意代碼。該請求允許網(wǎng)絡參與者完全控制系統(tǒng)。然后，攻擊者可以竊取信息、啟動勒索軟件或進行其他惡意活動。[1 ] 惡意網(wǎng)絡攻擊者在 2021 年 12 月公開披露該漏洞后開始利用該漏洞，并在 2022 年上半年繼續(xù)對 CVE-2021-44228 表現(xiàn)出高度興趣。
• CVE-2022-22954、 CVE-2022-22960。這些漏洞允許在 VMware Workspace ONE Access、Identity Manager 和其他 VMware 產(chǎn)品中進行 RCE、權限提升和身份驗證繞過。具有網(wǎng)絡訪問權限的惡意網(wǎng)絡攻擊者可能會觸發(fā)服務器端模板注入，從而可能導致遠程代碼執(zhí)行。CVE-2022-22954 和 CVE-2022-22960 的利用于 2022 年初開始，并在今年剩余時間內繼續(xù)進行嘗試。
• CVE-2022-1388。此漏洞允許未經(jīng)身份驗證的惡意網(wǎng)絡攻擊者繞過 F5 BIG-IP 應用程序交付和安全軟件上的iControl REST 身份驗證。
• CVE-2022-30190。此漏洞影響 Windows 中的 Microsoft 支持診斷工具 (MSDT)。未經(jīng)身份驗證的遠程網(wǎng)絡攻擊者可以利用此漏洞來控制受影響的系統(tǒng)。
• CVE-2022-26134。這個嚴重的 RCE 漏洞影響 Atlassian Confluence 和 Data Center。該漏洞最初可能是在 2022 年 6 月公開披露之前作為零日漏洞被利用的，它與較早的 Confluence 漏洞 ( CVE-2021-26084 ) 相關，網(wǎng)絡攻擊者也在 2022 年利用了該漏洞。