CNVD 公開數據顯示，2022 年共披露安全漏洞 23900+枚，其中低風險漏洞占比11.13%，中高風險漏洞占比較約53.82%，高危漏洞占比35.05%。從數據可以看出，中高危漏洞占比近89%，如此風險程度的漏洞一旦被潛在網絡犯罪分子利用，會給企業組織帶來毀滅性打擊。

不僅僅漏洞數量和危害程度與日俱增，有漏洞的軟硬件占比也逐年增長。新思科技發布的《2022年軟件漏洞快照》報告顯示，在其對2700多 個 Web 應用、移動應用、源代碼文件、軟件和網絡系統進行安全測試后，結果顯示 95% 的應用中存在某種形式的安全漏洞。

中高危漏洞數量占比逐漸攀升主要原因無外乎企業安全預算和及重視程度難以匹配黑客技術迭代和應用設備部署的數量，再加上人工智能、大數據、物聯網等新技術的應用，種種因素疊加，造成當下漏洞數量、修補難度、危害程度和影響范圍都逐漸增長的現狀。

安全人員證實安全漏洞數量是與應用程序及軟硬件設備發布時間呈正相關。Veracode 分析結果顯示，32% 的應用程序在第一次發布掃描時會出現漏洞，隨著時間推移漏洞積累越來越多。

本文從漏洞披露時間、危害程度、影響范圍等多個維度，盤點2022年高危漏洞TOP 10（排名不分先后）。

F5 BIG-IPF5 BIG-IP 訪問控制錯誤漏洞

CVE編號：CVE-2022-1388

CVE-2022-1388 漏洞于2022年5月首次被披露， 存在于F5 BIG-IP軟硬件套件中的BIG-IP iControl REST身份驗證組件，主要影響 BIG-IP 16.x: 16.1.0 - 16.1.2、BIG-IP 15.x: 15.1.0 - 15.1.5、BIG-IP 14.x: 14.1.0 - 14.1.4、BIG-IP 13.x: 13.1.0 - 13.1.4、BIG-IP 12.x: 12.1.0 - 12.1.6、BIG-IP 11.x: 11.6.1 - 11.6.5等幾個版本。

據悉，CVE-2022-1388漏洞允許未經身份驗證的攻擊者通過 BIG-IP 管理界面和自身IP地址對 iControl REST API 接口進行網絡訪問，進而在目標主機上執行任意系統命令、創建或刪除文件或禁用BIG-IP上的服務。漏洞披露后，研究人員發現旨在擦除設備內容或投放 web shell 惡意腳本的多起攻擊企圖利用該漏洞。

官方補丁：https://support.f5.com/csp/article/K23605346

Spring Framework 遠程代碼執行漏洞

CVE編號：CVE-2022-22965

springframework 是spring 里面的一個基礎開源框架，主要用于javaee的企業開發。2022年3月，Spring框架曝出追蹤為CVE-2022-22965的RCE 0day漏洞。安全研究人員發現，一旦攻擊者成功利用該漏洞，實現遠程代碼執行，便可對目標主機的后門文件寫入和配置修改，繼而通過后門文件訪問，獲得目標主機權限，進而攻擊整個系統。

目前受影響的Spring Framework的版本主要是Spring Framework 5.3.X < 5.3.18 和Spring Framework 5.2.X < 5.2.20。對于 CVE-2022-22965 漏洞必須加以重視，有證據表明其已經變成網絡犯罪分子手里的武器，用于部署加密貨幣挖礦軟件，并且用在了使用臭名昭著的Mirai惡意軟件的僵尸網絡。

官方補丁：https://tanzu.vmware.com/security/cve-2022-22965

Atlassian Con?fluence Server 注入漏洞

CVE編號：CVE-2022-26134

Atlassian Confluence是Atlassian公司出品的專業wiki程序，可以作為一個知識管理的工具，通過它能夠實現團隊成員之間的協作和知識共享。2022年6月3日，Atlassian發布官方公告，披露Atlassian Confluence中存在CVE-2022-26134遠程代碼執行漏洞。一旦未經身份驗證的遠程攻擊者成功利用該漏洞，就能夠創建新的管理員帳戶、執行命令并最終接管服務器。

主要受影響版本： 1.3.0 <= Confluence Server and Data Center < 7.4.17、7.13.0 <= Confluence Server and Data Center < 7.13.7、 7.14.0 <= Confluence Server and Data Center < 7.14.3、7.15.0 <= Confluence Server and Data Center < 7.15.2、7.16.0 <= Confluence Server and Data Center < 7.16.4、7.17.0 <= Confluence Server and Data Center < 7.17.4、7.18.0 <= Confluence Server and Data Center < 7.18.1。

官方補丁：https://jira.atlassian.com/browse/CONFSERVER-79016

Apache Fineract 路徑遍歷漏洞

CVE編號：CVE-2022-44635

Apache Fineract是用于金融服務的開源軟件，旨在實現核心銀行系統平臺化建設。2022年11月，Apache發布安全公告表示Apache Fineract的文件上傳組件中存在路徑遍歷漏洞（CVE-2022-44635），未經身份驗證的攻擊者可利用漏洞遠程執行代碼。影響范圍：Apache Fineract <= 1.8.0（分支補丁版本1.7.1不受影響）

官方補丁：https://lists.apache.org/thread/t8q6fmh3o6yqmy69qtqxppk9yg9wfybg

Microsoft Windows Support Diagnostic Tool 操作系統命令注入漏洞

CVE編號：CVE-2022-30190

CVE-2022-30190于2022年5月被安全研究人員披露，是微軟Windows支持診斷工具（MSDT）中的一個遠程代碼執行漏洞，允許遠程攻擊者在目標系統上執行任意shell命令。

漏洞公開披露后，安全研究人員觀察到多起涉及利用該漏洞的案例。此外，Follina漏洞還被用來植入遠程訪問工具，比如Qbot和AsyncRAT，并在Windows系統上部署后門。

官方補丁：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

Google Chrome 資源管理錯誤漏洞

CVE編號：CVE-2022-0609

CVE-2022-0609是Chrome 存在資源管理錯誤漏洞，該漏洞源于谷歌Chrome中的動畫組件內的免費使用后錯誤。攻擊者可利用該漏洞創建一個特別制作的網頁，誘騙受害者訪問它，觸發使用后免費錯誤，并在目標系統上執行任意代碼。

目前，研究人員已發現兩起黑客活動（名為“Operation Dream Job”和“Operation AppleJeus”）利用了該漏洞，這兩起黑客活動攻擊美國的媒體、IT、加密貨幣和金融技術等行業的多家組織。

官方補丁：https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html

合勤科技 USG FLEX 操作系統命令注入漏洞

CVE編號：CVE-2022-30525

Zyxel USG FLEX是中國合勤科技（Zyxel）公司的一款防火墻,能夠提供靈活的 VPN 選項（IPsec、SSL 或 L2TP），為遠程工作和管理提供靈活的安全遠程訪問。2022年5月，安全研究人員發現USG FLEX 操作系統中存在安全漏洞，潛在攻擊者能夠利用該漏洞修改特定文件，在易受攻擊的設備上執行一些操作系統命令。影響版本：合勤科技 USG FLEX 5.00版本至5.21版本。

官方補丁：https://www.zyxel.com/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtml

Apache Commons BCEL 緩沖區錯誤漏洞

CVE編號：CVE-2022-42920

Apache Commons BCEL是美國阿帕奇（Apache）基金會的一個字節代碼工程庫。旨在為用戶提供分析、創建和操作（二進制）Java類的便捷方式。2022年11月，安全研究人員發現 Apache Commons BCEL存在緩沖區錯誤漏洞，該漏洞源于存在越界寫入問題。

Apache Commons BCEL有許多API，通常只允許更改特定的類特征，但由于存在越界寫入問題，這些API可用于生成任意字節碼。 在將攻擊者可控制的數據傳遞給這些API的應用程序中，這可能會被濫用，從而使攻擊者對生成的字節碼擁有比預期更多的控制權。

官方補丁：https://lists.apache.org/thread/lfxk7q8qmnh5bt9jm6nmjlv5hsxjhrz4WordPress plugin

跨站請求偽造漏洞

CVE編號：CVE-2022-0215

WordPress是Wordpress基金會的一套使用PHP語言開發的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站，WordPress plugin是其中的一個應用插件。

2022年1月，安全人員發現WordPress 插件存在跨站請求偽造漏洞，追蹤為CVE-2022-0215，攻擊者可以更新站點上的任意選項，這些選項可用于創建管理用戶帳戶并授予對受感染站點的完全特權訪問權限。

官方補丁：https://www.wordfence.com/blog/2022/01/84000-wordpress-sites-affected-by-three-plugins-with-the-same-vulnerability/

Fastjson 代碼問題漏洞

CVE編號：CVE-2022-42920

Fastjson是一款開源JSON解析庫，可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean。Fastjson被眾多java軟件作為組件集成，廣泛存在于java應用的服務端代碼中。

2022年2月，安全研究人員發現Fastjson 1.2.83 之前版本中存在安全漏洞，該漏洞源于容易繞過默認的 autoType 關閉限制來反序列化不受信任的數據，攻擊者利用此漏洞可在目標服務器上實現任意代碼執行，造成服務器權限被竊取、敏感信息泄漏等嚴重影響。

官方補丁：https://github.com/alibaba/fastjson/wiki/security_update_20220523

結語

隨著互聯網和新興技術的快速發展，網絡攻擊變的愈來愈快速和復雜。2022年，高危漏洞數量延續增長趨勢，企業安全的進化難以跟上網絡攻擊的快速變化，供應鏈和第三方風險不斷累積，漏洞優先級排序和漏洞修補難度不斷加大，暴露面和攻擊面不斷擴大，MTTR等關鍵安全運營指標每況愈下，安全風險不斷攀升。

安全漏洞問題如此嚴峻，引起了社會廣泛關注。2021年7月，工業和信息化部、國家互聯網信息辦公室和公安部在《中華人民共和國網絡安全法》的基礎上，聯合印發了《網絡產品安全漏洞管理規定》，規范網絡產品安全漏洞發現、報告、修補和發布等行為，促進企業進一步完善漏洞安全機制。