極客網(wǎng)·極客觀察8月9日 五眼聯(lián)盟(Five Eyes)——美國、英國、澳大利亞、加拿大和新西蘭的網(wǎng)絡安全機構日前發(fā)布《2022年最常被利用的漏洞》報告,稱2022年最常被利用的12個漏洞中,有三分之一存在于微軟公司的產(chǎn)品中。
報告還指出,發(fā)現(xiàn)未修補的舊漏洞是威脅行為者的最愛,在被網(wǎng)絡攻擊者利用最多的12個漏洞中,超過一半是在2021年或更早發(fā)現(xiàn)的,一定程度表明人們并未從過去的事故中吸取足夠的教訓。
7大漏洞是老面孔
報告發(fā)現(xiàn),F(xiàn)ortinet FortiOS和FortiProxy漏洞是2022年網(wǎng)絡攻擊者利用率最高的漏洞,其次是Microsoft Exchange Server的三個漏洞、Zoho ManageEngine中的遠程代碼執(zhí)行漏洞、Confluence Server和DataCen漏洞的代碼執(zhí)行漏洞,以及Apache的Log4j框架中的Log4Shell漏洞。
2022年最常被利用的12個漏洞列表
CVE | CVSS v3.1評分 | 供應商 | 產(chǎn)品 | 類型 |
CVE-2018-13379Opens a new window | 9.8 | Fortinet | FortiOS and FortiProxy | SSL VPN credential exposure |
CVE-2021-34473Opens a new window (Proxy Shell) | 9.8 | Microsoft | Exchange Server | RCE |
CVE-2021-31207Opens a new window (Proxy Shell) | 7.2 | Microsoft | Exchange Server | Security Feature Bypass |
CVE-2021-34523Opens a new window (Proxy Shell) | 9.8 | Microsoft | Exchange Server | Elevation of Privilege |
CVE-2021-40539Opens a new window | 9.8 | Zoho ManageEngine | ADSelfService Plus | RCE/ Authentication Bypass |
CVE-2021-26084Opens a new window | 9.8 | Atlassian | Confluence Server and Data Center | Arbitrary code execution |
CVE-2021- 44228Opens a new window (Log4Shell) | 10 | Apache | Log4j2 | RCE |
CVE-2022-22954Opens a new window | 9.8 | VMware | Workspace ONE Access and Identity Manager | RCE |
CVE-2022-22960Opens a new window | 7.8 | VMware | Workspace ONE Access, Identity Manager, and vRealize Automation | Improper Privilege Management |
CVE-2022-1388Opens a new window | 9.8 | F5 Networks | BIG-IP | Missing Authentication Vulnerability |
CVE-2022-30190Opens a new window | 7.8 | Microsoft | Multiple Products | RCE |
CVE-2022-26134Opens a new window | 9.8 | Atlassian | Confluence Server and Data Center | RCE |
FBI前網(wǎng)絡威脅分析師、KnowBe4現(xiàn)任高管Rosa Smothers說,“網(wǎng)絡安全的基本原則之一是對影響軟件和設備的安全漏洞進行良好的補丁管理,但最有趣的是,網(wǎng)絡安全機構在2018年至2021年發(fā)現(xiàn)了這12大漏洞中的7個,這表明那些網(wǎng)絡安全方面仍然脆弱的組織顯然對威脅形勢漠不關心?!?br/>
Closed Door Security首席執(zhí)行官William Wright說,“排名前12位的漏洞來自不同的供應商,有一些非常古老,但這些都是網(wǎng)絡攻擊者致力尋找的漏洞。他們知道這些漏洞無處不在,可以很容易地運行掃描來查找易受攻擊的服務器,因此能夠很輕易地利用這些漏洞?!?/p>
KnowBe4安全意識倡導者James McQuiggan解釋說:“這個漏洞名單已經(jīng)成為網(wǎng)絡犯罪分子用來進入組織網(wǎng)絡的武器庫的一部分。他們在Exchange、Fortinet或Apache(Log4j)等組織的外部網(wǎng)絡設備上掃描這些漏洞,如果出現(xiàn)就很容易受到攻擊。在這種情況下,組織在進行修補漏洞之前,都會很容易地被網(wǎng)絡攻擊者侵入。”
不過,McQuiggan也強調(diào)了開發(fā)人員在確保免受漏洞侵害方面的重要性。他說,“雖然更新補丁很重要,但開發(fā)人員必須確保盡快為已知漏洞提供補丁程序,以降低針對客戶的攻擊風險?!?/p>
雖然這適用于新的漏洞,但下游組織沒有理由修補漏洞方面松懈。Wright說:“我給出的建議是,組織盡快針對這些漏洞測試他們的資產(chǎn),然后在必要時應用補丁。現(xiàn)在已經(jīng)發(fā)布了這份漏洞名單,網(wǎng)絡攻擊者將盡可能多地利用這些漏洞。時間正在流逝,他們知道這一點。”
微軟處于風暴中心
除了上述12個漏洞,F(xiàn)iveEyes還揭示了另外30個漏洞,其中10個存在于微軟產(chǎn)品中。總體而言,在FiveEyes發(fā)現(xiàn)的42個漏洞中,有14個來自微軟產(chǎn)品。
在這份報告發(fā)布之前,美國參議員Ron Wyden向美國網(wǎng)絡和基礎設施安全局(CISA)主任Jen Easterly發(fā)出了一封措辭嚴厲的信函。而美國司法部總檢察長Merrick B.Garland和美國聯(lián)邦貿(mào)易委員會主席Lina Khan也就微軟在漏洞管理方面的行為發(fā)表了評論。
Wyden在信中寫道,“我要求CISA采取行動,讓微軟對其疏忽的網(wǎng)絡安全做法負責,這使得他國對美國政府成功實施了間諜活動?!?/p>
Wyden在信中提到了外國的網(wǎng)絡間諜活動,該活動針對并損害了包括美國政府官員在內(nèi)的數(shù)百名美國人。Wyden繼續(xù)聲稱微軟也要為大規(guī)模的SolarWinds攻擊負責,網(wǎng)絡攻擊者通過竊取加密密鑰和偽造微軟憑證獲得訪問權限。
在這封信函發(fā)出近一周后,Tenable董事長兼CEO Amit Yoran也在LinkedIn上表達了他對微軟及其有害的混淆文化的不滿。Yora指出,谷歌零漏洞項目的一份報告中指出,微軟產(chǎn)品中的漏洞占2014年以來發(fā)現(xiàn)的所有零日漏洞的42.5%。
Yoran寫道:“微軟在違規(guī)行為、不負責任的安全措施以及漏洞方面缺乏透明度,所有這些都讓他們的客戶面臨被故意蒙在鼓里的風險?!彼信e自己公司在2023年3月發(fā)現(xiàn)的兩個漏洞,微軟花了90天時間才推出部分修復程序。
他說,“這是一種重復的行為模式。一些安全公司已經(jīng)通知微軟修補漏洞,但微軟對漏洞給客戶帶來的風險仍持不屑一顧的態(tài)度。有時候,在Tenable通知微軟120天之后,出現(xiàn)的漏洞仍未完全解決?!?nbsp;
“云計算提供商長期以來一直支持共同責任模式。如果組織的云計算提供商沒有在問題出現(xiàn)時通知并提供應用修復程序,那么這個模型就會不可挽回地崩潰。微軟產(chǎn)品的漏洞讓我們所有人都處于危險之中。而且情況比我們想象的還要糟糕?!盰oran強調(diào)。
- 蜜度索驥:以跨模態(tài)檢索技術助力“企宣”向上生長
- 美媒:一些中國大模型已經(jīng)追平甚至超越美國產(chǎn)品
- 透過這場開發(fā)者圈的“年度盛典”,窺見華為開發(fā)者生態(tài)構建之道
- 谷歌Willow量子芯片有進步 但離實用還很遙遠
- LLM很難變成AGI?科學家:創(chuàng)造AGI理論上可行
- PON在園區(qū)網(wǎng)絡的“先天不足”,無源以太全光來拯救!
- 英特爾CEO黯然退場背后:芯片制造陷泥潭,AI起大早趕晚集
- 開源5年樹立新里程 openEuler以智能 致世界
- 華為推出Mate 70手機引發(fā)高度關注 看外媒是如何評價的?
- 5G-A終端規(guī)模鋪開響應“以舊換新”,湖北移動“機網(wǎng)套”協(xié)同刺激內(nèi)需
- 六載華為開發(fā)者大賽,“賽”出云上開發(fā)新生態(tài)
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。