2022 年最常被利用的十大漏洞
黑客攻擊變得一年比一年高級和復雜,因此現在追蹤了解安全漏洞比以往任何時候都來得重要。本文著重介紹了 2022 年惡意威脅分子利用的一些最危險的漏洞。
1. Follina(CVE- 2022 – 30190)
CVE-2022-30190(非正式名稱為 "Follina")在 2022 年 5 月被披露,它是微軟 Windows 支持診斷工具(MSDT)中的一個遠程代碼執行漏洞,允許遠程攻擊者在目標系統上執行任意 shell 命令。
自從該漏洞被公開披露以來,安全研究人員觀察到多起涉及利用該漏洞的案例,包括與俄羅斯政府有關的威脅分子(Sandworm、UAC-0098 和 APT28)針對烏克蘭的組織和政府機構發起的多次網絡釣魚攻擊,旨在用竊取信息的惡意軟件感染受害者,以及針對歐美政府的網絡間諜活動。Follina 漏洞還被用來植入遠程訪問工具,比如 Qbot 和 AsyncRAT,并在 Windows 系統上部署后門。
2. Log4Shell(CVE- 2021 – 44228)
盡管 Log4Shell 漏洞在 2021 年底才被披露,但它在最常被利用的漏洞排行榜中依然名列前茅,仍然是網絡犯罪分子在地下論壇上最常討論的漏洞之一。
CVE-2021-44228 是一款廣受歡迎的 Apache Log4j 開源日志實用程序中的遠程代碼執行漏洞。如果威脅分子利用了該漏洞,就可以向受影響的系統發送一個特別精心設計的命令,執行惡意代碼,并操控受害者的機器。自 2021 年 12 月以來,現已修復的 Log4Shell 漏洞一直被多個威脅分子大肆利用,從加密貨幣挖礦軟件、DDoS 僵尸網絡、勒索軟件團伙和初始訪問代理,到與伊朗、朝鮮和土耳其政府有關聯的政府撐腰的黑客,不一而足。
最近,有人觀察到威脅分子使用 Log4Shell 在未打補丁的、面向公眾的 VMware Horizon 和 Unified Access Gateway(統一接入網關)服務器上部署惡意軟件。
3. Spring4Shell(CVE- 2022 – 22965)
CVE-2022-22965(Spring4Shell 或 SpringShell)是來自 VMware 的一種廣泛使用的開源 Java 框架 Spring Framework 中的遠程代碼執行漏洞,以上面提到的 Log4Shell 漏洞命名。一旦攻擊者實現了遠程代碼執行,就可以安裝惡意軟件,或者利用受影響的服務器作為初始立足點,以提升權限,進而攻擊整個系統。
雖然 Spring4Shell 不像 Log4Shell 那么普遍,也不容易被利用,但眾多組織不應該輕視該漏洞,因為它已經變成了網絡犯罪分子手里的武器,用于部署加密貨幣挖礦軟件,并且用在了使用臭名昭著的 Mirai 惡意軟件的僵尸網絡。
4. F5 BIG-IP(CVE-2022-1388)
CVE-2022-1388 于 2022 年 5 月首次被披露,是另一個值得關注的嚴重漏洞。該漏洞影響 F5 BIG-IP 軟硬件套件中的 BIG-IP iControl REST 身份驗證組件;一旦被利用,允許未經身份驗證的攻擊者以 "root" 權限在 BIG-IP 網絡設備上執行命令。在過去的幾個月里,研究人員發現了旨在擦除設備內容或投放 web shell 惡意腳本的多起攻擊企圖利用該漏洞。
5. 谷歌 Chrome 零日漏洞(CVE-2022-0609)
現已得到修補的 CVE-2022-0609 是谷歌 Chrome 的動畫組件中的遠程代碼執行漏洞,兩起獨立的與朝鮮有關的黑客活動(名為 "Operation Dream Job" 和 "Operation AppleJeus")利用了該漏洞,這兩起黑客活動攻擊美國的媒體、IT、加密貨幣和金融技術等行業的多家組織。
6. 微軟 Office 漏洞(CVE-2017-11882)
古老的微軟 Office 遠程代碼執行漏洞(CVE-2017-11882)于 2017 年首次被披露,至今仍是黑客論壇上最熱議的漏洞之一。雖然微軟在近五年前就發布了 CVE-2017-11882 的官方補丁,但許多組織依然沒有打上補丁,這給企圖趁虛而入的網絡犯罪分子提供了可趁之機。在最近的一個案例中,威脅分子利用這個未打補丁的漏洞來部署 SmokeLoader 惡意軟件,以便投放其他惡意軟件,比如 TrickBot。
7. ProxyNotShell(CVE-2022-41082 和 CVE-2022-41040)
ProxyNotShell 指兩個分別被編號為 CVE-2022-41082 和 CVE-2022-41040 的高危漏洞,允許訪問 PowerShell Remoting 的遠程用戶在易受攻擊的 Exchange 系統上執行任意代碼或執行 SSRF 攻擊。這兩個漏洞于 2022 年 9 月首次被披露,據稱被黑客利用了數月。微軟證實,黑客們利用 ProxyNotShell 漏洞,在被攻擊的 Exchange 服務器上部署了 China Chopper web shell 惡意腳本。這兩個漏洞在微軟發布的 11 月周二補丁包中都已得到了解決。
8. Zimbra 協作套件漏洞(CVE-2022-27925 和 CVE-2022-41352)
今年早些時候,安全研究人員向公眾披露了影響一種廣泛使用的電子郵件和協議平臺:Zimbra 協作套件(ZCS)的兩個漏洞(CVE-2022-27925 和 CVE-2022-41352)。CVE-2022-27925 允許實現遠程代碼執行,而 CVE-2022-41352 可以被用來將任意文件上傳到易受攻擊的實例。在 2022 年 7 月至 10 月期間,研究人員發現了多起攻擊,包括政府撐腰的黑客利用這些漏洞入侵了全球成千上萬臺 ZCS 服務器。
9. Atlassian Confluence RCE 漏洞(CVE-2022-26134)
運行 Atlassian Confluence 軟件的服務器對網絡犯罪分子來說之所以是誘人的目標,是由于如果不打補丁,它們可能提供對企業網絡的初始訪問,因此保護它們顯得至關重要。6 月份,包括 Kinsing、Hezb 和 Dark 在內的幾個僵尸網絡使用 Atlassian Confluence 的遠程執行漏洞(CVE-2022-26134),在未打補丁的安裝系統上部署挖掘加密貨幣的惡意軟件。
10. Zyxel RCE 漏洞(CVE-2022-30525)
另一個值得注意的嚴重漏洞就是 CVE-2022-30525,這個操作系統命令注入漏洞影響眾多企業的 Zyxel 防火墻和 VPN 設備。一旦成功利用該漏洞,攻擊者可以在不需要驗證身份的情況下遠程注入任意命令。考慮到這個安全問題的嚴重性以及可能帶來的破壞,美國國家安全局(NSA)網絡安全主任 Rob Joyce 發推文警告用戶有人企圖利用該漏洞,敦促用戶更新易受攻擊的 Zyxel 軟件。
