五眼联盟(Five Eyes)——美国、英国、澳大利亚、加拿大和新西兰的网络安全机构日前发布《2022年最常被利用的漏洞》报告,称2022年最常被利用的12个漏洞中,有三分之一存在于微软公司的产品中。
报告还指出,发现未修补的旧漏洞是威胁行为者的最爱,在被网络攻击者利用最多的12个漏洞中,超过一半是在2021年或更早发现的,一定程度表明人们并未从过去的事故中吸取足够的教训。
7大漏洞是老面孔
报告发现,Fortinet FortiOS和FortiProxy漏洞是2022年网络攻击者利用率最高的漏洞,其次是Microsoft Exchange Server的三个漏洞、Zoho ManageEngine中的远程代码执行漏洞、Confluence Server和DataCen漏洞的代码执行漏洞,以及Apache的Log4j框架中的Log4Shell漏洞。
2022年最常被利用的12个漏洞列表
CVE | CVSS v3.1评分 | 供应商 | 产品 | 类型 |
CVE-2018-13379Opens a new window | 9.8 | Fortinet | FortiOS and FortiProxy | SSL VPN credential exposure |
CVE-2021-34473Opens a new window (Proxy Shell) | 9.8 | Microsoft | Exchange Server | RCE |
CVE-2021-31207Opens a new window (Proxy Shell) | 7.2 | Microsoft | Exchange Server | Security Feature Bypass |
CVE-2021-34523Opens a new window (Proxy Shell) | 9.8 | Microsoft | Exchange Server | Elevation of Privilege |
CVE-2021-40539Opens a new window | 9.8 | Zoho ManageEngine | ADSelfService Plus | RCE/ Authentication Bypass |
CVE-2021-26084Opens a new window | 9.8 | Atlassian | Confluence Server and Data Center | Arbitrary code execution |
CVE-2021- 44228Opens a new window (Log4Shell) | 10 | Apache | Log4j2 | RCE |
CVE-2022-22954Opens a new window | 9.8 | VMware | Workspace ONE Access and Identity Manager | RCE |
CVE-2022-22960Opens a new window | 7.8 | VMware | Workspace ONE Access, Identity Manager, and vRealize Automation | Improper Privilege Management |
CVE-2022-1388Opens a new window | 9.8 | F5 Networks | BIG-IP | Missing Authentication Vulnerability |
CVE-2022-30190Opens a new window | 7.8 | Microsoft | Multiple Products | RCE |
CVE-2022-26134Opens a new window | 9.8 | Atlassian | Confluence Server and Data Center | RCE |
FBI前网络威胁分析师、KnowBe4现任高管Rosa Smothers说,“网络安全的基本原则之一是对影响软件和设备的安全漏洞进行良好的补丁管理,但最有趣的是,网络安全机构在2018年至2021年发现了这12大漏洞中的7个,这表明那些网络安全方面仍然脆弱的组织显然对威胁形势漠不关心。”
Closed Door Security首席执行官William Wright说,“排名前12位的漏洞来自不同的供应商,有一些非常古老,但这些都是网络攻击者致力寻找的漏洞。他们知道这些漏洞无处不在,可以很容易地运行扫描来查找易受攻击的服务器,因此能够很轻易地利用这些漏洞。”
KnowBe4安全意识倡导者James McQuiggan解释说:“这个漏洞名单已经成为网络犯罪分子用来进入组织网络的武器库的一部分。他们在Exchange、Fortinet或Apache(Log4j)等组织的外部网络设备上扫描这些漏洞,如果出现就很容易受到攻击。在这种情况下,组织在进行修补漏洞之前,都会很容易地被网络攻击者侵入。”
不过,McQuiggan也强调了开发人员在确保免受漏洞侵害方面的重要性。他说,“虽然更新补丁很重要,但开发人员必须确保尽快为已知漏洞提供补丁程序,以降低针对客户的攻击风险。”
虽然这适用于新的漏洞,但下游组织没有理由修补漏洞方面松懈。Wright说:“我给出的建议是,组织尽快针对这些漏洞测试他们的资产,然后在必要时应用补丁。现在已经发布了这份漏洞名单,网络攻击者将尽可能多地利用这些漏洞。时间正在流逝,他们知道这一点。”
微软处于风暴中心
除了上述12个漏洞,FiveEyes还揭示了另外30个漏洞,其中10个存在于微软产品中。总体而言,在FiveEyes发现的42个漏洞中,有14个来自微软产品。
在这份报告发布之前,美国参议员Ron Wyden向美国网络和基础设施安全局(CISA)主任Jen Easterly发出了一封措辞严厉的信函。而美国司法部总检察长Merrick B.Garland和美国联邦贸易委员会主席Lina Khan也就微软在漏洞管理方面的行为发表了评论。
Wyden在信中写道,“我要求CISA采取行动,让微软对其疏忽的网络安全做法负责,这使得他国对美国政府成功实施了间谍活动。”
Wyden在信中提到了外国的网络间谍活动,该活动针对并损害了包括美国政府官员在内的数百名美国人。Wyden继续声称微软也要为大规模的SolarWinds攻击负责,网络攻击者通过窃取加密密钥和伪造微软凭证获得访问权限。
在这封信函发出近一周后,Tenable董事长兼CEO Amit Yoran也在LinkedIn上表达了他对微软及其有害的混淆文化的不满。Yora指出,谷歌零漏洞项目的一份报告中指出,微软产品中的漏洞占2014年以来发现的所有零日漏洞的42.5%。
Yoran写道:“微软在违规行为、不负责任的安全措施以及漏洞方面缺乏透明度,所有这些都让他们的客户面临被故意蒙在鼓里的风险。”他列举自己公司在2023年3月发现的两个漏洞,微软花了90天时间才推出部分修复程序。
他说,“这是一种重复的行为模式。一些安全公司已经通知微软修补漏洞,但微软对漏洞给客户带来的风险仍持不屑一顾的态度。有时候,在Tenable通知微软120天之后,出现的漏洞仍未完全解决。”
“云计算提供商长期以来一直支持共同责任模式。如果组织的云计算提供商没有在问题出现时通知并提供应用修复程序,那么这个模型就会不可挽回地崩溃。微软产品的漏洞让我们所有人都处于危险之中。而且情况比我们想象的还要糟糕。”Yoran强调。