根据CISA、联邦调查局、澳大利亚网络安全中心和英国国家网络安全中心的分析,调查结果显示了2020年和2021年针对的许多相对较新的类似边界的设备。过去一年受攻击最多的漏洞数据也表明,越来越多的攻击者关注远程办公、虚拟专用网络VPN和基于云的技术。这也体现出网络攻击分子的目标也随着社会和技术的进步而进行迭代更新。
周二,美国国土安全部网络安全和基础设施安全局 (CISA)、联邦调查局、英国国家网络安全中心和澳大利亚网络安全中心发布了一份联合公告,列出了2020年和2021年攻击者最常利用的漏洞。
CVE-2019-19781
CVE-2019-11510
CVE-2018-13379
CVE-2020-5902
涉及企业应用到的技术,如用于安全防护或更好地管理对其网络和云资产的远程访问。
今年的名单包括这些漏洞以及几个较新的漏洞,例如3月份披露的Microsoft Exchange Server 中四个被严重利用的零日漏洞,以及Pulse、Fortinet和Accellion周围型设备中的其他漏洞。
大多数经常受到攻击的CVE都是在过去两年中披露的,因此相对较新。然而,其中一个安全漏洞——Microsoft Office 的远程代码执行缺陷 ( CVE-2017-11882 )——可以追溯到2017年。这些说明即便是时间很长的漏洞依旧存在未打补丁的情况,这将为网络攻击者提供机会。而现在我们可以采取的方式是,在软件开发初期利用代码安全检测工具等自动化工具提前发现软件中的漏洞,及时修补从而确保软件安全。
去年受攻击最多的12个CVE中有7个支持在易受攻击的系统上进行远程代码执行,其中两个为攻击者提供了一种方法提升权限,两个允许任意代码执行或文件读取,一个是路径遍历缺陷。
该报告指出:“网络攻击者继续利用众所周知的、通常过时的软件漏洞,以对付广泛的目标集。”该建议说,受到上述任何漏洞影响的组织应考虑尽快修补其系统或实施缓解措施,以避免受到损害的风险。
Digital Shadows首席信息安全官表示,警报中突出显示的CVE再次表明,只要有机会,攻击者更愿意追踪已知漏洞而不是零日漏洞。
企业应根据CISA的清单调整他们的基础设施和软件,并确保第三方帐户也能完全应对这些问题。同时,在这个供应链攻击的时代,企业应该确认他们的关键供应商安全管理是否为公司提供了攻击面并修补被利用的漏洞。
CISA、FBI 和编制该列表的其他合作伙伴CVE-2019-19781(Citrix的应用交付控制器 (ADC) 中的一个缺陷)确定为2020年最常被利用的漏洞。
该缺陷影响了全球 80,000个组织,其中近40%他们在美国。尽管Citrix和许多其他公司警告组织要立即修补该漏洞,因为该漏洞很容易被利用,但仍有数千人迟疑不决。根据 CISA的说法,民族国家行为者和网络犯罪分子可能喜欢这个漏洞,因为它很容易被利用,并且可利用系统的数量很多。
CVE-2019-11510是Pulse Secure Connect VPN中的任意文件读取漏洞,是去年第二大最常见的漏洞。该漏洞允许未经身份验证的攻击者访问受感染Pulse VPN服务器上所有用户的管理凭据和未加密的凭据。
该漏洞被认为特别危险,因为它允许攻击者在系统被修补后仍能访问系统,直到所有受感染的凭据都被更改为止。包括民族国家组织在内的攻击者以各种方式滥用该漏洞,包括分发勒索软件。与Citrix缺陷一样,许多组织尽管发出了许多警告,包括来自NSA之类的警告,但仍推迟修补Pulse VPN问题。
相同的Pulse漏洞——以及Pulse技术中的其他几个漏洞,包括身份验证绕过漏洞 ( CVE-2021-22893 )、缓冲区溢出问题 ( CVE-2021-22894 ) 和命令注入漏洞 ( CVE-2021-22899 ) - 今年也一直是攻击者的最爱。Pulse 并不是唯一一家产品被攻击者盯上的VPN供应商。其他包括Fortinet和Palo Alto。
同时,Exchange Server中所谓的ProxyLogon漏洞集(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065),微软于3月2日发布了紧急补丁,是2021年迄今为止最具针对性的漏洞之一。
来自企业防火墙公司Accellion的一个近乎过时的文件传输设备上的四个缺陷,成为了2021年另一个流行的攻击目标。这些漏洞在补丁发布之前就受到了积极的攻击,导致了包括Qualys、Kroger、Jones Day、新加坡电信和新西兰储备银行在内的众多Accellion客户的数据泄露。
通过调查发现,网络犯罪分子主要针对关键风险漏洞,通过此漏洞以启用对易受攻击系统的完全访问。
其次,网络犯罪分子将目标逐渐放在大型企业的软件供应商中以发起软件供应链攻击,从而大赚一笔。
最后,旧漏洞和新漏洞同样收到欢迎。他们利用新披露的漏洞还未进行打补丁的空档,和旧漏洞未打补丁的疏漏实施攻击。而避免软件出现漏洞可以从源头上杜绝此类问题,这就需要软件开发企业在开发周期当中置入安全理念,如静态代码安全检测工具、SCA、动态应用测试工具等,以确保软件在开发周期中尽量少的产生漏洞。
本文作者:Estela
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/163707.html