網絡犯罪分子利用較舊軟體漏洞的頻率高于最近披露的漏洞,企業修複老漏洞的安全收益顯著增加。
前情回顧·全球安全漏洞态勢
- 谷歌2022年發放了8200萬元漏洞賞金,平均每個漏洞近3萬元
- 微軟近一年發放了1億元漏洞賞金:平均每個漏洞8.5萬元
- 華為鴻蒙系統去年修複近300個漏洞,超3成是高危漏洞
- 國家漏洞庫CNNVD:2022年度網絡安全漏洞态勢報告
安全内參8月4日消息,五眼聯盟國家網絡安全機構昨天聯合釋出安全公告,公布了2022年最常被利用的12個漏洞,并建議“及時修補面向網際網路的系統”。
這些網絡安全機構非常了解美國、澳洲、加拿大、紐西蘭和英國境内組織受到的網絡攻擊。咨詢公告稱,惡意網絡攻擊者利用較舊軟體漏洞的頻率高于最近披露的漏洞。
此次釋出的2022年最常被利用漏洞清單,與去年釋出的清單類似。前12個最常被利用漏洞裡,有超過一半也出現在去年釋出的清單,比如Log4Shell(CVE-2021-44228)和Zoho漏洞(CVE-2021-40539)。Log4Shell漏洞于2021年被發現,據信遭北韓威脅組織利用。Zoho漏洞被用來對紅十字會發動攻擊,引發媒體廣泛報道。
英國國家網絡安全中心(NCSC)認為,大量老漏洞在今年清單上再次出現,說明“盡管已有安全更新可以修複面向網際網路系統的已披露漏洞,這些漏洞依然遭到惡意網絡攻擊者繼續利用。”
舊漏洞仍占大半
去年被利用最多的漏洞在2018年就已經被披露,各大組織有四年時間修補相關裝置。然而,這一漏洞仍然反複見諸美國網絡安全和基礎設施安全局、聯邦調查局和英國國家網絡安全中心的各項報告。
該漏洞影響Fortinet的SSL VPN産品,編号為CVE-2018-13379。這一問題早就為人所知。西方國家政府曾警告說,APT29等與俄羅斯聯邦對外情報局有關的威脅組織,以及其他惡意組織都在利用這個漏洞。
Fortinet的一位發言人強調該公司已向公衆提供緩解指南。他表示:“Fortinet緻力于幫助組織基于風險做出明智的決策,進而減輕網絡風險。相關決策包括及時打上更新檔、進行關鍵更新。”
緊随Fortinet VPN漏洞其後的,是一系列影響微軟Exchange伺服器的漏洞。它們于2021年被發現,通常稱為ProxyShell漏洞(包括CVE-2021-34473、CVE-2021-31207、CVE-2021-34523)。
英國國家網絡安全中心表示:“攻擊者通常在漏洞公開披露後的前兩年内,利用這些漏洞取得最大收獲,他們會針對性地利用這些漏洞,最大程度地擴大攻擊影響,這就展現了企業及時應用安全更新的好處。“
此外,Atlassian漏洞(CVE-2021-26084)繼續位居前五名。該漏洞允許通過網際網路進行遠端利用,可以輕易地被武器。是以,它的嚴重性評分高達9.8分(滿分為10分)。
清單前7個漏洞均為老漏洞
新漏洞遭利用頻次提高
去年最常被利用的漏洞中,真正在去年發現的是影響VMware産品的一對漏洞(CVE-2022-22954、CVE-2022-22960)。它們促使CISA在去年五月釋出緊急指令,要求聯邦民事行政部門修補受影響産品。
影響F5公司BIG-IP産品的漏洞在2022年最嚴重漏洞清單中排名不高。它的嚴重性評分也高達9.8分(滿分為10分)。這一漏洞促使CISA釋出緊急警報。據Shodan資料顯示,超過15000個BIG-IP産品存在網際網路暴露問題。
微軟再次登上榜單。多家安全公司報告稱,Windows系統中的微軟支援診斷工具漏洞(CVE-2022-30190)被多個國家支援的威脅組織利用。
Atlassian的另一個漏洞(CVE-2022-26134)出現在“2022年十二大被利用漏洞”清單末尾。安全公告警告稱,“2022年6月被公開披露之前,它很可能最初被作為零日漏洞利用”,并指出它與排名第四的另一個Atlassian漏洞(CVE-2021-26084)有關聯。
參考資料:therecord.media