概括

以下網絡安全機構共同撰寫了這份聯合網絡安全咨詢 (CSA)：

• 美國：網絡安全和基礎設施安全局 (CISA)、國家安全局 (NSA) 和聯邦調查局 (FBI)
• 澳大利亞：澳大利亞信號局的澳大利亞網絡安全中心 (ACSC)
• 加拿大：加拿大網絡安全中心 (CCCS)
• 新西蘭：新西蘭國家網絡安全中心 (NCSC-NZ) 和新西蘭計算機應急響應小組 (CERT NZ)
• 英國：國家網絡安全中心（NCSC-UK）

此通報提供了有關 2022 年惡意網絡攻擊者經常利用的常見漏洞和暴露 (CVE) 以及相關常見弱點枚舉 (CWE) 的詳細信息。到 2022 年，惡意網絡攻擊者利用舊軟件漏洞的頻率比最近披露的漏洞和針對未修補的面向互聯網的系統的頻率更高。

創作機構強烈鼓勵供應商、設計人員、開發人員和最終用戶組織實施本通報“緩解措施”部分中的建議（包括以下內容），以降低惡意網絡行為者危害的風險。

• 供應商、設計人員和開發人員：實施設計安全和默認原則和策略，以減少軟件中漏洞的出現。

遵循安全軟件開發框架 (SSDF)（也稱為SP 800-218），并將安全設計實踐實施到軟件開發生命周期 (SDLC) 的每個階段。作為其中的一部分，建立一個協調的漏洞披露計劃，其中包括確定已發現漏洞的根本原因的流程。

優先考慮默認安全配置，例如消除默認密碼，或要求進行其他配置更改以增強產品安全性。

確保發布的 CVE 包含識別漏洞根本原因的正確 CWE 字段。

• 最終用戶組織：

及時給系統打補丁。注意：如果本 CSA 中確定的 CVE 尚未修補，請首先檢查是否存在泄露跡象。

實施集中式補丁管理系統。

使用安全工具，例如端點檢測和響應 (EDR)、Web 應用程序防火墻和網絡協議分析器。

要求您的軟件提供商討論他們的安全設計計劃，并提供有關他們如何消除漏洞類別和設置安全默認設置的信息鏈接。

技術細節

主要發現

到 2022 年，惡意網絡攻擊者利用舊軟件漏洞的頻率比最近披露的漏洞和針對未修補的面向互聯網的系統的頻率更高。許多軟件漏洞或漏洞鏈的概念驗證 (PoC) 代碼是公開可用的，這可能有助于更廣泛的惡意網絡行為者的利用。

惡意網絡行為者通常在公開披露的頭兩年內最成功地利用已知漏洞——隨著軟件的修補或升級，此類漏洞的價值逐漸下降。及時修補會降低已知可利用漏洞的有效性，可能會降低惡意網絡行為者的操作速度，并迫使人們尋求成本更高、更耗時的方法（例如開發零日漏洞或進行軟件供應鏈操作）。

惡意網絡行為者可能會優先開發嚴重且全球流行的 CVE 漏洞。雖然經驗豐富的攻擊者還開發了利用其他漏洞的工具，但開發針對關鍵的、廣泛傳播的和眾所周知的漏洞的漏洞，為攻擊者提供了可以使用數年的低成本、高影響力的工具。此外，網絡攻擊者可能會對特定目標網絡中更普遍的漏洞給予更高的優先級。多個 CVE 或 CVE 鏈要求攻擊者向易受攻擊的設備發送惡意 Web 請求，該請求通常包含可通過深度數據包檢查檢測到的獨特簽名。

最常被利用的漏洞

表 1 顯示了合著者觀察到的惡意網絡攻擊者在 2022 年經常利用的 12 個漏洞：

• CVE-2018-13379。該漏洞影響 Fortinet SSL VPN，在 2020 年和2021 年也經常被利用。持續的利用表明許多組織未能及時修補軟件，并且仍然容易受到惡意網絡攻擊者的攻擊。
• CVE-2021-34473、CVE-2021-31207、CVE-2021-34523。這些漏洞稱為 ProxyShell，影響 Microsoft Exchange 電子郵件服務器。結合起來，成功的利用使遠程攻擊者能夠執行任意代碼。這些漏洞存在于 Microsoft 客戶端訪問服務 (CAS) 中，該服務通常在 Microsoft Internet 信息服務 (IIS)（例如 Microsoft 的 Web 服務器）的端口 443 上運行。CAS 通常暴露在互聯網上，使用戶能夠通過移動設備和 Web 瀏覽器訪問其電子郵件。
• CVE-2021-40539。該漏洞可在 Zoho ManageEngine ADSelfService Plus 中啟用未經身份驗證的遠程代碼執行 (RCE)，并且與過時的第三方依賴項的使用有關。該漏洞的首次利用始于 2021 年底，并持續到 2022 年。
• CVE-2021-26084。該漏洞影響 Atlassian Confluence 服務器和數據中心（政府和私營公司使用的基于網絡的協作工具），可能使未經身份驗證的網絡攻擊者能夠在易受攻擊的系統上執行任意代碼。該漏洞在 PoC 披露后一周內發布，很快成為最常被利用的漏洞之一。2021 年 9 月觀察到有人試圖大規模利用此漏洞。
• CVE-2021-44228。此漏洞稱為 Log4Shell，影響 Apache 的 Log4j 庫，這是一個開源日志框架，已融入全球數千種產品中。攻擊者可以通過向易受攻擊的系統提交特制請求來利用此漏洞，從而導致執行任意代碼。該請求允許網絡參與者完全控制系統。然后，攻擊者可以竊取信息、啟動勒索軟件或進行其他惡意活動。[1 ] 惡意網絡攻擊者在 2021 年 12 月公開披露該漏洞后開始利用該漏洞，并在 2022 年上半年繼續對 CVE-2021-44228 表現出高度興趣。
• CVE-2022-22954、 CVE-2022-22960。這些漏洞允許在 VMware Workspace ONE Access、Identity Manager 和其他 VMware 產品中進行 RCE、權限提升和身份驗證繞過。具有網絡訪問權限的惡意網絡攻擊者可能會觸發服務器端模板注入，從而可能導致遠程代碼執行。CVE-2022-22954 和 CVE-2022-22960 的利用于 2022 年初開始，并在今年剩余時間內繼續進行嘗試。
• CVE-2022-1388。此漏洞允許未經身份驗證的惡意網絡攻擊者繞過 F5 BIG-IP 應用程序交付和安全軟件上的iControl REST 身份驗證。
• CVE-2022-30190。此漏洞影響 Windows 中的 Microsoft 支持診斷工具 (MSDT)。未經身份驗證的遠程網絡攻擊者可以利用此漏洞來控制受影響的系統。
• CVE-2022-26134。這個嚴重的 RCE 漏洞影響 Atlassian Confluence 和 Data Center。該漏洞最初可能是在 2022 年 6 月公開披露之前作為零日漏洞被利用的，它與較早的 Confluence 漏洞 ( CVE-2021-26084 ) 相關，網絡攻擊者也在 2022 年利用了該漏洞。