五眼聯盟（Five Eyes）——美國、英國、澳大利亞、加拿大和新西蘭的網絡安全機構日前發布《2022年最常被利用的漏洞》報告，稱2022年最常被利用的12個漏洞中，有三分之一存在于微軟公司的產品中。

報告還指出，發現未修補的舊漏洞是威脅行為者的最愛，在被網絡攻擊者利用最多的12個漏洞中，超過一半是在2021年或更早發現的，一定程度表明人們并未從過去的事故中吸取足夠的教訓。

7大漏洞是老面孔

報告發現，Fortinet FortiOS和FortiProxy漏洞是2022年網絡攻擊者利用率最高的漏洞，其次是Microsoft Exchange Server的三個漏洞、Zoho ManageEngine中的遠程代碼執行漏洞、Confluence Server和DataCen漏洞的代碼執行漏洞，以及Apache的Log4j框架中的Log4Shell漏洞。

2022年最常被利用的12個漏洞列表 

FBI前網絡威脅分析師、KnowBe4現任高管Rosa Smothers說，“網絡安全的基本原則之一是對影響軟件和設備的安全漏洞進行良好的補丁管理，但最有趣的是，網絡安全機構在2018年至2021年發現了這12大漏洞中的7個，這表明那些網絡安全方面仍然脆弱的組織顯然對威脅形勢漠不關心。”

Closed Door Security首席執行官William Wright說，“排名前12位的漏洞來自不同的供應商，有一些非常古老，但這些都是網絡攻擊者致力尋找的漏洞。他們知道這些漏洞無處不在，可以很容易地運行掃描來查找易受攻擊的服務器，因此能夠很輕易地利用這些漏洞。”

KnowBe4安全意識倡導者James McQuiggan解釋說：“這個漏洞名單已經成為網絡犯罪分子用來進入組織網絡的武器庫的一部分。他們在Exchange、Fortinet或Apache（Log4j）等組織的外部網絡設備上掃描這些漏洞，如果出現就很容易受到攻擊。在這種情況下，組織在進行修補漏洞之前，都會很容易地被網絡攻擊者侵入。”

不過，McQuiggan也強調了開發人員在確保免受漏洞侵害方面的重要性。他說，“雖然更新補丁很重要，但開發人員必須確保盡快為已知漏洞提供補丁程序，以降低針對客戶的攻擊風險。”

雖然這適用于新的漏洞，但下游組織沒有理由修補漏洞方面松懈。Wright說：“我給出的建議是，組織盡快針對這些漏洞測試他們的資產，然后在必要時應用補丁。現在已經發布了這份漏洞名單，網絡攻擊者將盡可能多地利用這些漏洞。時間正在流逝，他們知道這一點。”

微軟處于風暴中心 

除了上述12個漏洞，FiveEyes還揭示了另外30個漏洞，其中10個存在于微軟產品中。總體而言，在FiveEyes發現的42個漏洞中，有14個來自微軟產品。

在這份報告發布之前，美國參議員Ron Wyden向美國網絡和基礎設施安全局（CISA）主任Jen Easterly發出了一封措辭嚴厲的信函。而美國司法部總檢察長Merrick B.Garland和美國聯邦貿易委員會主席Lina Khan也就微軟在漏洞管理方面的行為發表了評論。

Wyden在信中寫道，“我要求CISA采取行動，讓微軟對其疏忽的網絡安全做法負責，這使得他國對美國政府成功實施了間諜活動。”

Wyden在信中提到了外國的網絡間諜活動，該活動針對并損害了包括美國政府官員在內的數百名美國人。Wyden繼續聲稱微軟也要為大規模的SolarWinds攻擊負責，網絡攻擊者通過竊取加密密鑰和偽造微軟憑證獲得訪問權限。 

在這封信函發出近一周后，Tenable董事長兼CEO Amit Yoran也在LinkedIn上表達了他對微軟及其有害的混淆文化的不滿。Yora指出，谷歌零漏洞項目的一份報告中指出，微軟產品中的漏洞占2014年以來發現的所有零日漏洞的42.5%。

Yoran寫道：“微軟在違規行為、不負責任的安全措施以及漏洞方面缺乏透明度，所有這些都讓他們的客戶面臨被故意蒙在鼓里的風險。”他列舉自己公司在2023年3月發現的兩個漏洞，微軟花了90天時間才推出部分修復程序。 

他說，“這是一種重復的行為模式。一些安全公司已經通知微軟修補漏洞，但微軟對漏洞給客戶帶來的風險仍持不屑一顧的態度。有時候，在Tenable通知微軟120天之后，出現的漏洞仍未完全解決。” 

“云計算提供商長期以來一直支持共同責任模式。如果組織的云計算提供商沒有在問題出現時通知并提供應用修復程序，那么這個模型就會不可挽回地崩潰。微軟產品的漏洞讓我們所有人都處于危險之中。而且情況比我們想象的還要糟糕。”Yoran強調。