CISA、FBI 和 NSA 以及五眼網絡安全機構發布了 12 年 2022 個最常被利用的漏洞列表
CISA、NSA 和 FBI 與澳大利亞、加拿大、新西蘭和英國的網絡安全當局合作,發布了 12 年 2022 個最常被利用的漏洞列表。
對 12 年 2022 個最常被利用的漏洞的了解使組織能夠確定其補丁管理操作的優先級,以最大限度地減少攻擊面。
“此通報提供了有關 2022 年惡意網絡行為者經常和頻繁利用的常見漏洞和披露 (CVE) 以及相關的常見弱點枚舉 (CWE) 的詳細信息。”
“編寫機構強烈鼓勵供應商、設計人員、開發人員和最終用戶組織實施本通報的緩解措施部分中的建議,以降低惡意網絡參與者入侵的風險。”
政府專家警告說,在 2022 年,大多數被利用的漏洞都是較舊的軟件漏洞,威脅行為者針對的是未修補的、面向互聯網的系統。
列表中許多漏洞的概念驗證 (PoC) 代碼的可用性使威脅參與者很容易利用這些問題來執行廣泛的惡意活動。
根據該公告,威脅行為者通常在公開披露的前兩年內利用已知漏洞最成功。
以下是 12 年 2022 個最常被利用的漏洞列表:
| CVE | 供應商 | 產品 | 類型 | CWE |
|---|---|---|---|---|
| 福蒂內特 | FortiOS 和 FortiProxy | SSL VPN 憑據公開 | ||
CVE-2021-34473(代理外殼) | Microsoft | 交換服務器 | RCE | |
CVE-2021-31207(代理外殼) | Microsoft | 交換服務器 | 安全功能繞過 | |
CVE-2021-34523(代理外殼) | Microsoft | 交換服務器 | 特權提升 | |
| Zoho ManageEngine | ADSelfService Plus | RCE/身份驗證旁路 | ||
| 阿特拉斯安 | 匯流服務器和數據中心 | 任意代碼執行 | ||
CVE-2021- 44228(日志4外殼) | 阿帕奇 | 日志4j2 | RCE | CWE-917 表達式語言語句中使用的特殊元素的不當中和(“表達式語言注入”) CWE-20 不正確的輸入驗證 CWE-400 不受控制的資源消耗 CWE-502 不受信任數據的反序列化 |
| VMware | 工作區 ONE 訪問和身份管理器 | RCE | ||
| VMware | Workspace ONE Access、Identity Manager 和 vRealize Automation | 權限管理不當 | ||
| F5 網絡 | 大知識產權 | 缺少身份驗證漏洞 | ||
| Microsoft | 多種產品 | RCE | 未列出 | |
| 阿特拉斯安 | 匯流服務器和數據中心 | RCE |
在2022年,最常被利用的漏洞是 Fortinet SSL VPN 中的一個漏洞,該漏洞被跟蹤為 CVE-2018-13379。該漏洞被多個威脅行為者利用[1,2,3,4,5],包括針對關鍵基礎設施的與俄羅斯相關的APT組織。
該通報還包括 30 年新增 2022 個常規利用的漏洞。
該通報還為供應商和開發人員提供了緩解措施。
