利用已知和未修補(bǔ)的漏洞仍然是威脅行為者慣用的一種策略。從安全繞過(guò)、憑據(jù)暴露到遠(yuǎn)程代碼執(zhí)行，軟件漏洞始終是網(wǎng)絡(luò)攻擊者入侵系統(tǒng)的有力武器。

雖然在今年的破壞活動(dòng)中出現(xiàn)了一些新身影，例如活動(dòng)目錄和MOVEit文件傳輸應(yīng)用程序中發(fā)現(xiàn)的新漏洞，以及AlienFox工具包或IceFire勒索軟件活動(dòng)中使用的漏洞等，但迄今為止，已知的一些漏洞在濫用頻率方面仍然保持強(qiáng)勁勢(shì)頭。

在本篇文章中，我們深入研究了CISA最新發(fā)布的“2022年最常被利用的12個(gè)漏洞”名單，這些漏洞將繼續(xù)對(duì)企業(yè)業(yè)務(wù)構(gòu)成重大威脅。

1. Fortinet FortiOS & FortiProxy漏洞（CVE-2018-13379）

Fortinet FortiOS SSL VPN主要用于邊界防火墻，通過(guò)將敏感的內(nèi)部網(wǎng)絡(luò)與公共互聯(lián)網(wǎng)隔離開(kāi)來(lái)發(fā)揮作用。CVE-2018-13379作為一個(gè)特別嚴(yán)重的路徑遍歷漏洞，允許APT參與者使用特制的HTTP資源請(qǐng)求來(lái)竊取合法憑證，連接到未打補(bǔ)丁的VPN并下載系統(tǒng)文件。盡管CVE-2018-13379早在2019年就發(fā)布了補(bǔ)丁，但在過(guò)去三年中，CVE-2018-13379多次卷土重來(lái)，目標(biāo)鎖定在政府、商業(yè)和技術(shù)服務(wù)網(wǎng)絡(luò)等領(lǐng)域。

2020年，一名黑客利用該漏洞從近5萬(wàn)臺(tái)Fortinet VPN設(shè)備竊取了VPN憑證。安全研究人員當(dāng)時(shí)指出，在這5萬(wàn)個(gè)域名中，超過(guò)40個(gè)屬于知名的金融和政府組織。當(dāng)年晚些時(shí)候，這個(gè)漏洞再次出現(xiàn)；這一次是被政府支持的行為者利用，試圖破壞美國(guó)選舉支持系統(tǒng)。在這次活動(dòng)中，CVE-2018-13379與其他攻擊鏈接在一起，以利用暴露在互聯(lián)網(wǎng)上的服務(wù)器并獲得訪問(wèn)權(quán)限。該漏洞在2021年再次出現(xiàn)，當(dāng)時(shí)通過(guò)利用CVE-2018-13379獲得的Fortigate SSL VPN設(shè)備的87,000組憑據(jù)在線泄露。

這些關(guān)鍵的漏洞對(duì)威脅行為者來(lái)說(shuō)仍然是有利可圖的。用戶群越大，潛在的目標(biāo)就越多，這就增加了對(duì)攻擊者的吸引力。由于它們的頻繁濫用，F(xiàn)BI和CISA已經(jīng)發(fā)布了一份聯(lián)合警告，警告Fortinet的用戶和管理員提防高級(jí)持續(xù)威脅（APT）攻擊者積極利用現(xiàn)有和未來(lái)的關(guān)鍵VPN漏洞。這些漏洞極有可能繼續(xù)被用于在脆弱的環(huán)境中獲得最初的立足點(diǎn)，作為未來(lái)攻擊的跳板。

2—4. Microsoft Exchange Server（CVE-2021-34473、CVE-2021-31207、CVE-2021-34523） 

Microsoft Exchange Server是一個(gè)流行的電子郵件和支持系統(tǒng)，適用于全球組織，既可以部署在本地，也可以部署在云中。時(shí)至今日，在未打補(bǔ)丁的Microsoft Exchange Server本地版本中發(fā)現(xiàn)的一系列漏洞仍在面向互聯(lián)網(wǎng)的服務(wù)器上被積極利用。

這一系列漏洞被統(tǒng)稱為“ProxyShell”，包括CVE-2021-34473、CVE-2021-31207和CVE-2021-34523，影響多個(gè)版本的本地Microsoft Exchange服務(wù)器。ProxyShell以未打補(bǔ)丁的Exchange服務(wù)器為目標(biāo)，實(shí)現(xiàn)預(yù)認(rèn)證的遠(yuǎn)程代碼執(zhí)行（RCE）。在這三個(gè)漏洞中，CVE-2021-34473的CVSS得分最高，為9.1。雖然其余的漏洞最初被歸類為“不太可能被利用”，但當(dāng)它們與CVE-2021-34473結(jié)合使用時(shí)，就會(huì)給攻擊者帶來(lái)巨大的價(jià)值?？傊?，ProxyShell允許攻擊者在端口443的易受攻擊的Exchange服務(wù)器上執(zhí)行任意命令。

這三個(gè)漏洞都在2021年得到了修補(bǔ)，但安全研究人員目前正在追蹤幾個(gè)已知利用ProxyShell漏洞的未分類威脅（UNC）組織，同時(shí)預(yù)測(cè)隨著未來(lái)幾代威脅參與者采用有效漏洞，會(huì)出現(xiàn)更多集群。在一個(gè)被追蹤為UNC2980的特定威脅活動(dòng)集群中，Mandiant的研究人員觀察到，ProxyShell漏洞被用于一次網(wǎng)絡(luò)間諜活動(dòng)中。在這次行動(dòng)中，UNC2980通過(guò)利用ProxyShell獲得訪問(wèn)權(quán)限并部署web shell后，將多個(gè)工具投放到美國(guó)大學(xué)的系統(tǒng)環(huán)境中。在通過(guò)ProxyShell進(jìn)行攻擊后，攻擊者使用公開(kāi)可用的工具（如Mimikatz、HTRAN和EarthWorm）進(jìn)行攻擊后活動(dòng)。

5. 微軟各種產(chǎn)品（CVE-2022-30190）

被稱為“Follina”的CVE-2022-30190是一個(gè)嚴(yán)重的RCE漏洞，影響多個(gè)Microsoft Office產(chǎn)品。Follina允許攻擊者在說(shuō)服用戶打開(kāi)惡意Word文檔或任何其他處理URL的向量后，執(zhí)行任意代碼。由于大量未打補(bǔ)丁的Microsoft Office產(chǎn)品可用，F(xiàn)ollina持續(xù)出現(xiàn)在各種網(wǎng)絡(luò)攻擊中。

已知威脅行為者通過(guò)網(wǎng)絡(luò)釣魚(yú)騙局利用Follina漏洞，使用社會(huì)工程技術(shù)誘騙用戶打開(kāi)惡意Office文檔。當(dāng)用戶在Office應(yīng)用程序中遇到嵌入式鏈接時(shí)，這些鏈接將被自動(dòng)獲取，從而觸發(fā)Microsoft Support Diagnostic Tool（MSDT）協(xié)議的執(zhí)行。MSDT（MSDT .exe）是一項(xiàng)微軟服務(wù)，主要用于收集系統(tǒng)崩潰信息，以便向微軟支持部門(mén)報(bào)告。然而，威脅行為者可以通過(guò)制作鏈接來(lái)利用此協(xié)議強(qiáng)制執(zhí)行惡意PowerShell命令，而無(wú)需任何進(jìn)一步的用戶交互。這帶來(lái)了嚴(yán)重的安全風(fēng)險(xiǎn)，因?yàn)樗试S攻擊者通過(guò)看似無(wú)害的鏈接在目標(biāo)系統(tǒng)上遠(yuǎn)程執(zhí)行未經(jīng)授權(quán)的命令。

最近，F(xiàn)ollina漏洞被用作零日漏洞來(lái)支持針對(duì)關(guān)鍵行業(yè)組織的威脅活動(dòng)。從2022年3月到5月，一個(gè)被追蹤為UNC3658的活動(dòng)集群利用Follina攻擊菲律賓政府。同年4月，UNC3347針對(duì)南亞電信實(shí)體和商業(yè)服務(wù)的運(yùn)動(dòng)中出現(xiàn)了更多的Follina樣本。第三個(gè)名為UNC3819的集群也使用CVE-2022-30190攻擊俄羅斯和白俄羅斯的組織。

6. Zoho ManageEngine ADSelfService Plus漏洞（CVE-2021-40539）

2021年底，Zoho ManageEngine ADSelfService Plus軟件中一個(gè)已修補(bǔ)的關(guān)鍵漏洞，導(dǎo)致國(guó)防、醫(yī)療、能源、技術(shù)和教育領(lǐng)域的至少9家實(shí)體遭到攻擊。據(jù)悉，該產(chǎn)品為Active Directory和云應(yīng)用程序提供了全面的自助密碼管理和單點(diǎn)登錄（SSO）解決方案，旨在允許管理員對(duì)安全的應(yīng)用程序登錄實(shí)施雙因素身份驗(yàn)證（2FA），同時(shí)授予用戶自主重置密碼的能力。

該漏洞被追蹤為CVE-2021-40539，允許威脅行為者獲得對(duì)受害組織系統(tǒng)的初始訪問(wèn)權(quán)限。CVE-2021-40539（CVSS評(píng)分9.8）是一個(gè)身份驗(yàn)證繞過(guò)漏洞，影響可用于RCE的REST API URL。作為回應(yīng)，CISA發(fā)布了一個(gè)關(guān)于零日漏洞的警告，告知用戶攻擊者如何利用該漏洞部署web shell以進(jìn)行“利用后”（post-exploitation）活動(dòng)，例如竊取管理員憑據(jù)，進(jìn)行橫向移動(dòng)，以及泄露注冊(cè)表和活動(dòng)目錄（AD）文件。

AD和云應(yīng)用程序的SSO解決方案中的漏洞尤為嚴(yán)重。如果這些漏洞被成功利用，攻擊者基本上可以通過(guò)AD訪問(wèn)企業(yè)網(wǎng)絡(luò)深處的關(guān)鍵應(yīng)用程序、敏感數(shù)據(jù)和其他區(qū)域。

【CVE-2021-40539漏洞分析流程圖（來(lái)源：Zoho）】

最近，在針對(duì)紅十字國(guó)際委員會(huì)（ICRC）的攻擊中也發(fā)現(xiàn)了利用CVE-2021-40539的漏洞。紅十字會(huì)在聲明中承認(rèn)，他們錯(cuò)過(guò)了可以保護(hù)自身免受攻擊的關(guān)鍵補(bǔ)丁，強(qiáng)調(diào)了維護(hù)一個(gè)強(qiáng)大的補(bǔ)丁管理流程的重要性。由于這次襲擊，參與紅十字國(guó)際委員會(huì)“重建家庭聯(lián)系”（Restoring Family Links）項(xiàng)目的51.5萬(wàn)多人的姓名、地點(diǎn)和聯(lián)系信息遭到泄露。

7—8. Atlassian Confluence服務(wù)器和數(shù)據(jù)中心（CVE-2021-26084、CVE-2022-26134） 

許多政府和私營(yíng)企業(yè)使用的協(xié)作和文檔平臺(tái)Atlassian Confluence同樣備受威脅行為者青睞。此次入圍的CVE-2021-26084和CVE-2022-26134兩個(gè)漏洞都與對(duì)象圖導(dǎo)航語(yǔ)言（OGNL）注入有關(guān)。

CVE-2021-26084的首次大規(guī)模利用發(fā)生在2021年9月，目標(biāo)是廣受歡迎的基于web的文檔服務(wù)。Confluence平臺(tái)旨在允許多個(gè)團(tuán)隊(duì)在共享項(xiàng)目上進(jìn)行協(xié)作。惡意行為者可以利用命令注入漏洞CVE-2021-26084在Confluence服務(wù)器或數(shù)據(jù)中心實(shí)例上執(zhí)行任意代碼。攻擊者基本上擁有與運(yùn)行服務(wù)的用戶相同的權(quán)限，因此能夠執(zhí)行任何命令，獲得提升的管理權(quán)限，并在環(huán)境中建立立足點(diǎn)。CISA發(fā)布了一份建議，指導(dǎo)用戶和管理員檢查Atlassian的更新，以防止被入侵。

僅僅9個(gè)月后，Atlassian又發(fā)布了針對(duì)Confluence服務(wù)器和數(shù)據(jù)中心的另一個(gè)OGNL注入漏洞。該漏洞被跟蹤為CVE-2021-26134，它允許未經(jīng)身份驗(yàn)證的攻擊者在所有受支持的Confluence數(shù)據(jù)中心和服務(wù)器版本中執(zhí)行任意代碼。在最初披露的一周內(nèi)，概念驗(yàn)證（PoC）發(fā)布后，這個(gè)關(guān)鍵級(jí)別的漏洞迅速成為被利用最多的漏洞之一。在這種情況下，CVE-2021-26134被用來(lái)在服務(wù)器上實(shí)現(xiàn)未經(jīng)身份驗(yàn)證的RCE，然后投置一個(gè)Behinder web shell。Behinder web shell賦予了惡意行為者非常強(qiáng)大的功能，例如與Meterpreter和Cobalt Strike的交互以及僅限內(nèi)存（memory-only）的web shell。

根據(jù)Atlassian網(wǎng)站所示，該公司支持83%的《財(cái)富》500強(qiáng)公司，每月有1000萬(wàn)活躍用戶，在190多個(gè)國(guó)家擁有超過(guò)23.5萬(wàn)用戶。這兩個(gè)基于Atlassian的CVE展示了出于經(jīng)濟(jì)動(dòng)機(jī)的威脅行為者如何不斷利用漏洞同時(shí)攻擊許多有吸引力的目標(biāo)。

9. Log4Shell（CVE- 2021 - 44228）

Log4shell被追蹤為CVE-2021-44228，也被稱為“Log4j漏洞”，是在Apache Log4j（一個(gè)流行的基于java的日志庫(kù)，廣泛用于各種應(yīng)用程序）中發(fā)現(xiàn)的最嚴(yán)重的RCE漏洞。該漏洞允許遠(yuǎn)程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼，從而導(dǎo)致未經(jīng)授權(quán)的訪問(wèn)、數(shù)據(jù)泄露，甚至危及整個(gè)系統(tǒng)。

該漏洞于2021年12月被首次公開(kāi)披露，究其原因是在“l(fā)og4j2”組件的查找機(jī)制中使用了不受信任的數(shù)據(jù)，使攻擊者能夠通過(guò)精心制作的日志消息注入惡意代碼。這個(gè)缺陷暴露了各種各樣的應(yīng)用程序，包括web服務(wù)器、企業(yè)軟件和基于云的服務(wù)，它們都依賴于Log4j進(jìn)行日志記錄。

盡管Apache很快發(fā)布了10.0級(jí)RCE漏洞的補(bǔ)丁，但安全專家確認(rèn)，鑒于其在主要供應(yīng)商中的廣泛使用，該漏洞利用將繼續(xù)進(jìn)行，并可能導(dǎo)致廣泛的惡意軟件部署。此后，CISA發(fā)布了一項(xiàng)具有約束力的操作指令（BOD），命令聯(lián)邦民事行政部門(mén)（FCEB）機(jī)構(gòu)修補(bǔ)他們的系統(tǒng)，以應(yīng)對(duì)這一關(guān)鍵漏洞。

Log4shell的快速利用歸功于它在不同行業(yè)和平臺(tái)上的廣泛部署。更重要的是，修補(bǔ)漏洞已被證明極具挑戰(zhàn)性，因?yàn)樵S多組織難以及時(shí)識(shí)別和更新其基礎(chǔ)設(shè)施中的所有Log4j實(shí)例。

10—11. VMware Workspace ONE訪問(wèn)和身份管理器（CVE-2022-22954、CVE-2022-22960） 

VMware是一款流行的虛擬化軟件，它經(jīng)常淪為包括APT組織在內(nèi)的各級(jí)網(wǎng)絡(luò)攻擊者的目標(biāo)。利用VMware的漏洞可以授權(quán)對(duì)平臺(tái)上托管的虛擬機(jī)和關(guān)鍵數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的訪問(wèn)。由于VMware在單個(gè)物理服務(wù)器上虛擬化多個(gè)系統(tǒng)，因此成功的攻擊可能同時(shí)危及多個(gè)虛擬機(jī)。通常，攻擊者選擇瞄準(zhǔn)VMware環(huán)境是為了在更大的網(wǎng)絡(luò)中獲得立足點(diǎn)，利用虛擬化基礎(chǔ)設(shè)施的信任和可訪問(wèn)性。VMware的漏洞在CISA今年的漏洞排行榜上占據(jù)了兩個(gè)位置。

首先，CVE-2022-22954（CVSS評(píng)分9.8）是一個(gè)服務(wù)器端模板注入漏洞，可以被具有網(wǎng)絡(luò)訪問(wèn)權(quán)限的惡意行為者觸發(fā)，從而在VMware的Workspace ONE access & Identity Manager中實(shí)現(xiàn)RCE。該漏洞的PoC在去年春天發(fā)布后，安全研究人員就發(fā)現(xiàn)它被用于主動(dòng)攻擊，感染了帶有挖礦機(jī)的服務(wù)器。

其次，CVE-2022-22960是一個(gè)特權(quán)升級(jí)漏洞。根據(jù)CISA關(guān)于此漏洞的建議，由于支持腳本中的權(quán)限不正確，它使具有本地訪問(wèn)權(quán)限的惡意行為者能夠?qū)⑻貦?quán)升級(jí)為root。如果與CVE-2022-22954鏈接在一起，攻擊者可以作為VMware用戶執(zhí)行任意shell命令，然后擦除日志，升級(jí)權(quán)限，并橫向移動(dòng)到具有root訪問(wèn)權(quán)限的其他系統(tǒng)。

12. F5Networks BIG-IP（CVE-2022-1388）

去年9月，F(xiàn)5發(fā)布了一個(gè)與BIG-IP產(chǎn)品套件相關(guān)的關(guān)鍵RCE漏洞補(bǔ)丁，幾天后，安全研究人員就能夠針對(duì)該漏洞創(chuàng)建一個(gè)漏洞利用程序。CVE-2022-1388（CVSS評(píng)分9.8）被歸類為缺失身份驗(yàn)證漏洞，涉及iControl REST身份驗(yàn)證繞過(guò)，可能導(dǎo)致攻擊者獲得訪問(wèn)權(quán)限并控制受損的BIG-IP系統(tǒng)。攻擊者可以執(zhí)行許多惡意操作，例如為未來(lái)的攻擊加載web shell，部署加密貨幣礦工和泄露敏感數(shù)據(jù)。

遠(yuǎn)程代碼執(zhí)行缺陷很容易被利用，這使得它們成為機(jī)會(huì)主義威脅行為者的攻擊目標(biāo)。每當(dāng)在面向互聯(lián)網(wǎng)的服務(wù)中發(fā)現(xiàn)漏洞時(shí)，威脅行為者肯定會(huì)迅速利用它們。像CVE-2022-1388這樣的漏洞提供了對(duì)目標(biāo)網(wǎng)絡(luò)的即時(shí)初始訪問(wèn)，并且通常使攻擊者能夠通過(guò)橫向移動(dòng)和特權(quán)升級(jí)進(jìn)行攻擊。

結(jié)語(yǔ) 

企業(yè)安全團(tuán)隊(duì)必須承認(rèn)，舊的漏洞仍然存在，并繼續(xù)構(gòu)成重大威脅。雖然最新的CVE通常更引人注目，但CISA的年度常用漏洞清單清楚地提醒人們，已知的漏洞仍然能夠?qū)σ资芄舻南到y(tǒng)造成嚴(yán)重破壞。

除了全面的列表之外，CISA還為供應(yīng)商和技術(shù)組織提供了識(shí)別和減輕潛在風(fēng)險(xiǎn)的指導(dǎo)。建議包括采用“設(shè)計(jì)即安全”（secure-by-design）實(shí)踐，并優(yōu)先修補(bǔ)已知的被利用的漏洞，從而最大限度地降低妥協(xié)的風(fēng)險(xiǎn)。還鼓勵(lì)供應(yīng)商建立協(xié)調(diào)一致的漏洞披露程序，以便對(duì)發(fā)現(xiàn)的漏洞進(jìn)行根本原因分析。

原文鏈接：https://www.sentinelone.com/blog/enterprise-security-essentials-top-12-most-routinely-exploited-vulnerabilities/