2022年最常被利用的十大漏洞
黑客攻擊變得一年比一年高級和復雜,因此現在追蹤了解安全漏洞比以往任何時候都來得重要。本文著重介紹了2022年惡意威脅分子利用的一些最危險的漏洞。
1. Follina(CVE- 2022 – 30190)
CVE-2022-30190(非正式名稱為“Follina”)在2022年5月被披露,它是微軟Windows支持診斷工具(MSDT)中的一個遠程代碼執行漏洞,允許遠程攻擊者在目標系統上執行任意shell命令。
自從該漏洞被公開披露以來,安全研究人員觀察到多起涉及利用該漏洞的案例,包括與俄羅斯政府有關的威脅分子(Sandworm、UAC-0098和APT28)針對烏克蘭的組織和政府機構發起的多次網絡釣魚攻擊,旨在用竊取信息的惡意軟件感染受害者,以及針對歐美政府的網絡間諜活動。Follina漏洞還被用來植入遠程訪問工具,比如Qbot和AsyncRAT,并在Windows系統上部署后門。
2. Log4Shell(CVE- 2021 – 44228)
盡管Log4Shell漏洞在2021年底才被披露,但它在最常被利用的漏洞排行榜中依然名列前茅,仍然是網絡犯罪分子在地下論壇上最常討論的漏洞之一。
CVE-2021-44228是一款廣受歡迎的Apache Log4j開源日志實用程序中的遠程代碼執行漏洞。如果威脅分子利用了該漏洞,就可以向受影響的系統發送一個特別精心設計的命令,執行惡意代碼,并操控受害者的機器。自2021年12月以來,現已修復的Log4Shell漏洞一直被多個威脅分子大肆利用,從加密貨幣挖礦軟件、DDoS僵尸網絡、勒索軟件團伙和初始訪問代理,到與伊朗、朝鮮和土耳其政府有關聯的政府撐腰的黑客,不一而足。
最近,有人觀察到威脅分子使用Log4Shell在未打補丁的、面向公眾的VMware Horizon和Unified Access Gateway(統一接入網關)服務器上部署惡意軟件。
3. Spring4Shell(CVE- 2022 – 22965)
CVE-2022-22965(Spring4Shell或SpringShell)是來自VMware的一種廣泛使用的開源Java框架Spring Framework中的遠程代碼執行漏洞,以上面提到的Log4Shell漏洞命名。一旦攻擊者實現了遠程代碼執行,就可以安裝惡意軟件,或者利用受影響的服務器作為初始立足點,以提升權限,進而攻擊整個系統。
雖然Spring4Shell不像Log4Shell那么普遍,也不容易被利用,但眾多組織不應該輕視該漏洞,因為它已經變成了網絡犯罪分子手里的武器,用于部署加密貨幣挖礦軟件,并且用在了使用臭名昭著的Mirai惡意軟件的僵尸網絡。
4. F5 BIG-IP(CVE-2022-1388)
CVE-2022-1388于2022年5月首次被披露,是另一個值得關注的嚴重漏洞。該漏洞影響F5 BIG-IP軟硬件套件中的BIG-IP iControl REST身份驗證組件;一旦被利用,允許未經身份驗證的攻擊者以“root”權限在BIG-IP網絡設備上執行命令。在過去的幾個月里,研究人員發現了旨在擦除設備內容或投放web shell惡意腳本的多起攻擊企圖利用該漏洞。
5. 谷歌Chrome零日漏洞(CVE-2022-0609)
現已得到修補的CVE-2022-0609是谷歌Chrome的動畫組件中的遠程代碼執行漏洞,兩起獨立的與朝鮮有關的黑客活動(名為“Operation Dream Job”和“Operation AppleJeus”)利用了該漏洞,這兩起黑客活動攻擊美國的媒體、IT、加密貨幣和金融技術等行業的多家組織。
6. 微軟Office漏洞(CVE-2017-11882)
古老的微軟Office遠程代碼執行漏洞(CVE-2017-11882)于2017年首次被披露,至今仍是黑客論壇上最熱議的漏洞之一。雖然微軟在近五年前就發布了CVE-2017-11882的官方補丁,但許多組織依然沒有打上補丁,這給企圖趁虛而入的網絡犯罪分子提供了可趁之機。在最近的一個案例中,威脅分子利用這個未打補丁的漏洞來部署SmokeLoader惡意軟件,以便投放其他惡意軟件,比如TrickBot。
7. ProxyNotShell(CVE-2022-41082和CVE-2022-41040)
ProxyNotShell指兩個分別被編號為CVE-2022-41082和CVE-2022-41040的高危漏洞,允許訪問PowerShell Remoting的遠程用戶在易受攻擊的Exchange系統上執行任意代碼或執行SSRF攻擊。這兩個漏洞于2022年9月首次被披露,據稱被黑客利用了數月。微軟證實,黑客們利用ProxyNotShell漏洞,在被攻擊的Exchange服務器上部署了China Chopper web shell惡意腳本。這兩個漏洞在微軟發布的11月周二補丁包中都已得到了解決。
8. Zimbra協作套件漏洞(CVE-2022-27925和CVE-2022-41352)
今年早些時候,安全研究人員向公眾披露了影響一種廣泛使用的電子郵件和協議平臺:Zimbra協作套件(ZCS)的兩個漏洞(CVE-2022-27925和CVE-2022-41352)。CVE-2022-27925允許實現遠程代碼執行,而CVE-2022-41352可以被用來將任意文件上傳到易受攻擊的實例。在2022年7月至10月期間,研究人員發現了多起攻擊,包括政府撐腰的黑客利用這些漏洞入侵了全球成千上萬臺ZCS服務器。
9. Atlassian Confluence RCE漏洞(CVE-2022-26134)
運行Atlassian Confluence軟件的服務器對網絡犯罪分子來說之所以是誘人的目標,是由于如果不打補丁,它們可能提供對企業網絡的初始訪問,因此保護它們顯得至關重要。6月份,包括Kinsing、Hezb和Dark在內的幾個僵尸網絡使用Atlassian Confluence的遠程執行漏洞(CVE-2022-26134),在未打補丁的安裝系統上部署挖掘加密貨幣的惡意軟件。
10. Zyxel RCE漏洞(CVE-2022-30525)
另一個值得注意的嚴重漏洞就是CVE-2022-30525,這個操作系統命令注入漏洞影響眾多企業的Zyxel防火墻和VPN設備。一旦成功利用該漏洞,攻擊者可以在不需要驗證身份的情況下遠程注入任意命令。考慮到這個安全問題的嚴重性以及可能帶來的破壞,美國國家安全局(NSA)網絡安全主任Rob Joyce發推文警告用戶有人企圖利用該漏洞,敦促用戶更新易受攻擊的Zyxel軟件。
