概括

以下网络安全机构共同撰写了这份联合网络安全咨询 (CSA)：

• 美国：网络安全和基础设施安全局 (CISA)、国家安全局 (NSA) 和联邦调查局 (FBI)
• 澳大利亚：澳大利亚信号局的澳大利亚网络安全中心 (ACSC)
• 加拿大：加拿大网络安全中心 (CCCS)
• 新西兰：新西兰国家网络安全中心 (NCSC-NZ) 和新西兰计算机应急响应小组 (CERT NZ)
• 英国：国家网络安全中心（NCSC-UK）

此通报提供了有关 2022 年恶意网络攻击者经常利用的常见漏洞和暴露 (CVE) 以及相关常见弱点枚举 (CWE) 的详细信息。到 2022 年，恶意网络攻击者利用旧软件漏洞的频率比最近披露的漏洞和针对未修补的面向互联网的系统的频率更高。

创作机构强烈鼓励供应商、设计人员、开发人员和最终用户组织实施本通报“缓解措施”部分中的建议（包括以下内容），以降低恶意网络行为者危害的风险。

• 供应商、设计人员和开发人员：实施设计安全和默认原则和策略，以减少软件中漏洞的出现。

遵循安全软件开发框架 (SSDF)（也称为SP 800-218），并将安全设计实践实施到软件开发生命周期 (SDLC) 的每个阶段。作为其中的一部分，建立一个协调的漏洞披露计划，其中包括确定已发现漏洞的根本原因的流程。

优先考虑默认安全配置，例如消除默认密码，或要求进行其他配置更改以增强产品安全性。

确保发布的 CVE 包含识别漏洞根本原因的正确 CWE 字段。

• 最终用户组织：

及时给系统打补丁。注意：如果本 CSA 中确定的 CVE 尚未修补，请首先检查是否存在泄露迹象。

实施集中式补丁管理系统。

使用安全工具，例如端点检测和响应 (EDR)、Web 应用程序防火墙和网络协议分析器。

要求您的软件提供商讨论他们的安全设计计划，并提供有关他们如何消除漏洞类别和设置安全默认设置的信息链接。

技术细节

主要发现

到 2022 年，恶意网络攻击者利用旧软件漏洞的频率比最近披露的漏洞和针对未修补的面向互联网的系统的频率更高。许多软件漏洞或漏洞链的概念验证 (PoC) 代码是公开可用的，这可能有助于更广泛的恶意网络行为者的利用。

恶意网络行为者通常在公开披露的头两年内最成功地利用已知漏洞——随着软件的修补或升级，此类漏洞的价值逐渐下降。及时修补会降低已知可利用漏洞的有效性，可能会降低恶意网络行为者的操作速度，并迫使人们寻求成本更高、更耗时的方法（例如开发零日漏洞或进行软件供应链操作）。

恶意网络行为者可能会优先开发严重且全球流行的 CVE 漏洞。虽然经验丰富的攻击者还开发了利用其他漏洞的工具，但开发针对关键的、广泛传播的和众所周知的漏洞的漏洞，为攻击者提供了可以使用数年的低成本、高影响力的工具。此外，网络攻击者可能会对特定目标网络中更普遍的漏洞给予更高的优先级。多个 CVE 或 CVE 链要求攻击者向易受攻击的设备发送恶意 Web 请求，该请求通常包含可通过深度数据包检查检测到的独特签名。

最常被利用的漏洞

表 1 显示了合著者观察到的恶意网络攻击者在 2022 年经常利用的 12 个漏洞：

• CVE-2018-13379。该漏洞影响 Fortinet SSL VPN，在 2020 年和2021 年也经常被利用。持续的利用表明许多组织未能及时修补软件，并且仍然容易受到恶意网络攻击者的攻击。
• CVE-2021-34473、CVE-2021-31207、CVE-2021-34523。这些漏洞称为 ProxyShell，影响 Microsoft Exchange 电子邮件服务器。结合起来，成功的利用使远程攻击者能够执行任意代码。这些漏洞存在于 Microsoft 客户端访问服务 (CAS) 中，该服务通常在 Microsoft Internet 信息服务 (IIS)（例如 Microsoft 的 Web 服务器）的端口 443 上运行。CAS 通常暴露在互联网上，使用户能够通过移动设备和 Web 浏览器访问其电子邮件。
• CVE-2021-40539。该漏洞可在 Zoho ManageEngine ADSelfService Plus 中启用未经身份验证的远程代码执行 (RCE)，并且与过时的第三方依赖项的使用有关。该漏洞的首次利用始于 2021 年底，并持续到 2022 年。
• CVE-2021-26084。该漏洞影响 Atlassian Confluence 服务器和数据中心（政府和私营公司使用的基于网络的协作工具），可能使未经身份验证的网络攻击者能够在易受攻击的系统上执行任意代码。该漏洞在 PoC 披露后一周内发布，很快成为最常被利用的漏洞之一。2021 年 9 月观察到有人试图大规模利用此漏洞。
• CVE-2021-44228。此漏洞称为 Log4Shell，影响 Apache 的 Log4j 库，这是一个开源日志框架，已融入全球数千种产品中。攻击者可以通过向易受攻击的系统提交特制请求来利用此漏洞，从而导致执行任意代码。该请求允许网络参与者完全控制系统。然后，攻击者可以窃取信息、启动勒索软件或进行其他恶意活动。[1 ] 恶意网络攻击者在 2021 年 12 月公开披露该漏洞后开始利用该漏洞，并在 2022 年上半年继续对 CVE-2021-44228 表现出高度兴趣。
• CVE-2022-22954、 CVE-2022-22960。这些漏洞允许在 VMware Workspace ONE Access、Identity Manager 和其他 VMware 产品中进行 RCE、权限提升和身份验证绕过。具有网络访问权限的恶意网络攻击者可能会触发服务器端模板注入，从而可能导致远程代码执行。CVE-2022-22954 和 CVE-2022-22960 的利用于 2022 年初开始，并在今年剩余时间内继续进行尝试。
• CVE-2022-1388。此漏洞允许未经身份验证的恶意网络攻击者绕过 F5 BIG-IP 应用程序交付和安全软件上的iControl REST 身份验证。
• CVE-2022-30190。此漏洞影响 Windows 中的 Microsoft 支持诊断工具 (MSDT)。未经身份验证的远程网络攻击者可以利用此漏洞来控制受影响的系统。
• CVE-2022-26134。这个严重的 RCE 漏洞影响 Atlassian Confluence 和 Data Center。该漏洞最初可能是在 2022 年 6 月公开披露之前作为零日漏洞被利用的，它与较早的 Confluence 漏洞 ( CVE-2021-26084 ) 相关，网络攻击者也在 2022 年利用了该漏洞。