2022 年最常被利用的十大漏洞
黑客攻击变得一年比一年高级和复杂,因此现在追踪了解安全漏洞比以往任何时候都来得重要。本文着重介绍了 2022 年恶意威胁分子利用的一些最危险的漏洞。
1. Follina(CVE- 2022 – 30190)
CVE-2022-30190(非正式名称为 "Follina")在 2022 年 5 月被披露,它是微软 Windows 支持诊断工具(MSDT)中的一个远程代码执行漏洞,允许远程攻击者在目标系统上执行任意 shell 命令。
自从该漏洞被公开披露以来,安全研究人员观察到多起涉及利用该漏洞的案例,包括与俄罗斯政府有关的威胁分子(Sandworm、UAC-0098 和 APT28)针对乌克兰的组织和政府机构发起的多次网络钓鱼攻击,旨在用窃取信息的恶意软件感染受害者,以及针对欧美政府的网络间谍活动。Follina 漏洞还被用来植入远程访问工具,比如 Qbot 和 AsyncRAT,并在 Windows 系统上部署后门。
2. Log4Shell(CVE- 2021 – 44228)
尽管 Log4Shell 漏洞在 2021 年底才被披露,但它在最常被利用的漏洞排行榜中依然名列前茅,仍然是网络犯罪分子在地下论坛上最常讨论的漏洞之一。
CVE-2021-44228 是一款广受欢迎的 Apache Log4j 开源日志实用程序中的远程代码执行漏洞。如果威胁分子利用了该漏洞,就可以向受影响的系统发送一个特别精心设计的命令,执行恶意代码,并操控受害者的机器。自 2021 年 12 月以来,现已修复的 Log4Shell 漏洞一直被多个威胁分子大肆利用,从加密货币挖矿软件、DDoS 僵尸网络、勒索软件团伙和初始访问代理,到与伊朗、朝鲜和土耳其政府有关联的政府撑腰的黑客,不一而足。
最近,有人观察到威胁分子使用 Log4Shell 在未打补丁的、面向公众的 VMware Horizon 和 Unified Access Gateway(统一接入网关)服务器上部署恶意软件。
3. Spring4Shell(CVE- 2022 – 22965)
CVE-2022-22965(Spring4Shell 或 SpringShell)是来自 VMware 的一种广泛使用的开源 Java 框架 Spring Framework 中的远程代码执行漏洞,以上面提到的 Log4Shell 漏洞命名。一旦攻击者实现了远程代码执行,就可以安装恶意软件,或者利用受影响的服务器作为初始立足点,以提升权限,进而攻击整个系统。
虽然 Spring4Shell 不像 Log4Shell 那么普遍,也不容易被利用,但众多组织不应该轻视该漏洞,因为它已经变成了网络犯罪分子手里的武器,用于部署加密货币挖矿软件,并且用在了使用臭名昭著的 Mirai 恶意软件的僵尸网络。
4. F5 BIG-IP(CVE-2022-1388)
CVE-2022-1388 于 2022 年 5 月首次被披露,是另一个值得关注的严重漏洞。该漏洞影响 F5 BIG-IP 软硬件套件中的 BIG-IP iControl REST 身份验证组件;一旦被利用,允许未经身份验证的攻击者以 "root" 权限在 BIG-IP 网络设备上执行命令。在过去的几个月里,研究人员发现了旨在擦除设备内容或投放 web shell 恶意脚本的多起攻击企图利用该漏洞。
5. 谷歌 Chrome 零日漏洞(CVE-2022-0609)
现已得到修补的 CVE-2022-0609 是谷歌 Chrome 的动画组件中的远程代码执行漏洞,两起独立的与朝鲜有关的黑客活动(名为 "Operation Dream Job" 和 "Operation AppleJeus")利用了该漏洞,这两起黑客活动攻击美国的媒体、IT、加密货币和金融技术等行业的多家组织。
6. 微软 Office 漏洞(CVE-2017-11882)
古老的微软 Office 远程代码执行漏洞(CVE-2017-11882)于 2017 年首次被披露,至今仍是黑客论坛上最热议的漏洞之一。虽然微软在近五年前就发布了 CVE-2017-11882 的官方补丁,但许多组织依然没有打上补丁,这给企图趁虚而入的网络犯罪分子提供了可趁之机。在最近的一个案例中,威胁分子利用这个未打补丁的漏洞来部署 SmokeLoader 恶意软件,以便投放其他恶意软件,比如 TrickBot。
7. ProxyNotShell(CVE-2022-41082 和 CVE-2022-41040)
ProxyNotShell 指两个分别被编号为 CVE-2022-41082 和 CVE-2022-41040 的高危漏洞,允许访问 PowerShell Remoting 的远程用户在易受攻击的 Exchange 系统上执行任意代码或执行 SSRF 攻击。这两个漏洞于 2022 年 9 月首次被披露,据称被黑客利用了数月。微软证实,黑客们利用 ProxyNotShell 漏洞,在被攻击的 Exchange 服务器上部署了 China Chopper web shell 恶意脚本。这两个漏洞在微软发布的 11 月周二补丁包中都已得到了解决。
8. Zimbra 协作套件漏洞(CVE-2022-27925 和 CVE-2022-41352)
今年早些时候,安全研究人员向公众披露了影响一种广泛使用的电子邮件和协议平台:Zimbra 协作套件(ZCS)的两个漏洞(CVE-2022-27925 和 CVE-2022-41352)。CVE-2022-27925 允许实现远程代码执行,而 CVE-2022-41352 可以被用来将任意文件上传到易受攻击的实例。在 2022 年 7 月至 10 月期间,研究人员发现了多起攻击,包括政府撑腰的黑客利用这些漏洞入侵了全球成千上万台 ZCS 服务器。
9. Atlassian Confluence RCE 漏洞(CVE-2022-26134)
运行 Atlassian Confluence 软件的服务器对网络犯罪分子来说之所以是诱人的目标,是由于如果不打补丁,它们可能提供对企业网络的初始访问,因此保护它们显得至关重要。6 月份,包括 Kinsing、Hezb 和 Dark 在内的几个僵尸网络使用 Atlassian Confluence 的远程执行漏洞(CVE-2022-26134),在未打补丁的安装系统上部署挖掘加密货币的恶意软件。
10. Zyxel RCE 漏洞(CVE-2022-30525)
另一个值得注意的严重漏洞就是 CVE-2022-30525,这个操作系统命令注入漏洞影响众多企业的 Zyxel 防火墙和 VPN 设备。一旦成功利用该漏洞,攻击者可以在不需要验证身份的情况下远程注入任意命令。考虑到这个安全问题的严重性以及可能带来的破坏,美国国家安全局(NSA)网络安全主任 Rob Joyce 发推文警告用户有人企图利用该漏洞,敦促用户更新易受攻击的 Zyxel 软件。
