对于所有的0day,定制的恶意软件和其他完全未知的安全漏洞,它们已经存在多年并被广泛利用。为了更好地表明这一点,美国联邦调查局(FBI)、美国网络安全与基础设施安全局(CISA)、澳大利亚网络安全中心(ACSC)和英国国家网络安全中心(NCSC)发布了联合网络安全咨询。在这份报告中,他们列出了2020年和2021年使用的30大漏洞。
尽管软件供应商和开发人员尽了最大努力,但其中许多漏洞已经存在多年。如Microsoft 的Print Spooler中的“PrintNightmare”漏洞表明,仅仅因为某些事情已知并不意味着它很容易被解决。
Accellion
在查看此列表时请记住,本文中的每个漏洞在某些时候都被认为是“关键的”,而且它们都被广泛使用。因此,所有这些的主要结论是,如果你正在使用这里列出的产品,请确保立即打补丁。
这里提到的FTA服务器主要用于传输非常大的文件。该程序自2018年以来一直处于更新状态,已经更新了20多年。自 2021年4月30日起,该程序被视为生命周期结束,由他们的Kiteworks软件接管。上述四个漏洞都在同一个包中公布,每个都是不同的漏洞类型。
Qualys 是受此漏洞影响的知名组织之一,其DMZ中的FTA服务器遭到破坏。
Atlassian
Confluence服务器是一个wiki风格的协作环境。通过在易受攻击的软件版本中利用“小部件连接器宏”,恶意用户将能够浏览服务器上的目录、部署模板并实现远程代码执行。
这一特殊漏洞已被用于部署加密货币挖掘软件和勒索软件。
Crowd和Crowd Data Center都是身份管理系统,提供单点登录服务,可以通过一个中央提供商帮助跨多个平台进行身份验证。这些程序的产品版本默认情况下错误地启用了一个名为pdkinstall的开发插件。通过这个漏洞,恶意用户可以安装他们的插件,从而创建远程代码执行场景。
Citrix
在2019冠状病毒病(COVID-19)大流行期间,人们迅速转向远程工作,在许多情况下,这是意外的。这意味着许多组织在未完全配置的状态下部署了可能未经测试的远程访问系统。因此,这一漏洞是2020年被利用最多的漏洞。
卡内基梅隆大学(Carnegie Mellon University)的研究人员能够证明,该软件不限制访问名为“Virtual Private Network”的目录中的特定脚本部分,该目录可以通过目录遍历访问。一旦它们在这个目录中,它们就可以执行其设计的远程代码执行。
Drupal
Drupal被许多人用作网站和wiki的内容管理系统 (CMS)。该漏洞涉及 Drupal 请求参数的方式。根据Tenable的说法,恶意用户可以使用它来将有效负载部署到系统而无需输入灭菌,因为它接受数组中的参数。
有可能同时利用应用程序和主机操作系统。尽管问题很严重,但仍有许多未打补丁的系统,尽管自 2018 年年中以来已有补丁可用。
可以同时利用应用程序和主机操作系统。尽管这个问题很严重,而且自2018年年中以来已经有了补丁,但仍然有许多系统没有补丁。
F5
BIG-IP提供负载均衡、防火墙功能和DNS服务。通过该漏洞,恶意用户将能够访问应用程序的配置功能,以及他们选择的运行代码。
然而,像许多其他配置工具一样,只允许从特定的ip访问上层控制提供了一个快速的解决方案。与此同时,启用了永久修复——这一点对于多个供应商来说非常重要。
Fortinet
与上面报道的Citrix的原因类似,Fortinet的SSL Virtual Private Network产品在2020年的使用出现爆炸式增长,使其成为攻击者非常诱人的目标。所有这三个问题都围绕着远程访问提供。
2018年漏洞允许恶意用户从 FortiOS 门户网站移动到包含系统文件的目录,但不一定要上传自己的。虽然这听起来不一定像其他一些漏洞那么糟糕,但据认为这一发现的研究人员称,它允许“预授权任意文件读取”,或者更具体地说,他们可能会读取密码数据库和其他敏感数据。
2019年漏洞可能允许同一本地子网的用户模拟LDAP身份验证服务器,并可能获取敏感数据。互联网安全与研究集团(Internet Security and Research Group)詹姆斯·伦肯(James Renken)是该漏洞的发现者之一,他重申,如果在多个地点使用被盗的凭证,访问可能会迅速传播。
2020年漏洞,如果用户更改用户名的大小写,可能允许用户绕过双因素认证要求。例如,如果恶意用户利用2018漏洞获取证书,他们就可以利用该漏洞获得完全访问权,而不需要2FA令牌。
Microsoft
Microsoft 的 Windows 操作系统、Office 生产力软件、Sharepoint 内容管理系统和 Exchange 电子邮件服务器产品为许多企业提供支持。 2017 Office漏洞允许恶意用户将文件分发给合法用户,然后在Office 套件程序或独立的写字板应用程序中打开该文件。一旦用户打开文件,恶意用户希望的任何代码都将以登录用户的权限运行。这在概念上与 2019 Sharepoint 漏洞非常相似,其中代码可以作为 Sharepoint 应用程序池和服务器场帐户的凭据运行。
后台智能传输服务 (BITS)为Windows提供了大量的更新功能。利用这个漏洞,已经可以访问系统的恶意用户可以提升他们的权限来控制整个本地计算机。
Netlogon允许对属于Microsoft的Active Directory域结构的用户和计算机进行身份验证。利用该漏洞可能允许某人冒充域控制器并可能获得域管理员权限。
2020 Exchange 漏洞是由 Exchange 2019 中的 Exchange 控制面板 Web 应用程序问题引起的。该问题与加密密钥有关,特别是它在安装时不会生成新密钥。如果恶意用户有权访问默认密钥,他们可能会导致 Exchange 解密其数据。这可以创建一个远程代码执行系统-服务器上的最高权限级别。
另一方面,2021年的Exchange漏洞是攻击链的一部分。根据微软公司客户安全和信任副总裁Tom Burt的博客文章,该攻击包含三个步骤:“首先,它会通过窃取的密码或利用之前未发现的漏洞将自己伪装成有权访问的人。其次,它会创建所谓的web shell 来远程控制受感染的服务器。最后,它会使用远程访问。”
MobileIron
MobileIron 提供了许多处理移动设备管理的服务。Devcore 的 Orange Tsai 再次在 MobileIron Core产品中发现了一个漏洞,该漏洞可能允许恶意用户在未经身份验证的情况下执行其代码。
Pulse Secure
Pulse Secure的Connect Secure是SSL Virtual Private Network的一种形式,我们已经在这个列表中多次看到。2019年漏洞可能允许未经身份验证的用户读取通过Virtual Private Network传输的文件,获得对纯文本凭证的访问,并在客户端连接到Virtual Private Network服务器时执行命令。
2021漏洞可能允许未经身份验证的用户通过根级访问在Virtual Private Network网关本身上运行他们的代码。
Telerik
Telerik的ASP.NET AJAX UI允许快速创建和部署Web表单。此漏洞在概念上类似于Exchange解密漏洞。如果恶意用户可以通过其他漏洞或其他方式访问加密密钥,他们就可以在服务器上运行自己的代码。
VMWare
VMWare允许在主机操作系统之上运行虚拟机,vSphere 是它们的主要管理界面。第一个漏洞是由于默认启用的插件上没有输入验证。因此,用户可以在主机操作系统上运行他们的代码。第二个漏洞也涉及插件,但不同的是,在不需要验证的情况下,它允许用户执行受影响的插件通常可以执行的任何操作。