利用已知和未修補的漏洞仍然是威脅行為者慣用的一種策略。從安全繞過、憑據暴露到遠程代碼執行，軟件漏洞始終是網絡攻擊者入侵系統的有力武器。

雖然在今年的破壞活動中出現了一些新身影，例如活動目錄和MOVEit文件傳輸應用程序中發現的新漏洞，以及AlienFox工具包或IceFire勒索軟件活動中使用的漏洞等，但迄今為止，已知的一些漏洞在濫用頻率方面仍然保持強勁勢頭。

在本篇文章中，我們深入研究了CISA最新發布的“2022年最常被利用的12個漏洞”名單，這些漏洞將繼續對企業業務構成重大威脅。

1. Fortinet FortiOS & FortiProxy漏洞（CVE-2018-13379）

Fortinet FortiOS SSL VPN主要用于邊界防火墻，通過將敏感的內部網絡與公共互聯網隔離開來發揮作用。CVE-2018-13379作為一個特別嚴重的路徑遍歷漏洞，允許APT參與者使用特制的HTTP資源請求來竊取合法憑證，連接到未打補丁的VPN并下載系統文件。盡管CVE-2018-13379早在2019年就發布了補丁，但在過去三年中，CVE-2018-13379多次卷土重來，目標鎖定在政府、商業和技術服務網絡等領域。

2020年，一名黑客利用該漏洞從近5萬臺Fortinet VPN設備竊取了VPN憑證。安全研究人員當時指出，在這5萬個域名中，超過40個屬于知名的金融和政府組織。當年晚些時候，這個漏洞再次出現；這一次是被政府支持的行為者利用，試圖破壞美國選舉支持系統。在這次活動中，CVE-2018-13379與其他攻擊鏈接在一起，以利用暴露在互聯網上的服務器并獲得訪問權限。該漏洞在2021年再次出現，當時通過利用CVE-2018-13379獲得的Fortigate SSL VPN設備的87,000組憑據在線泄露。

這些關鍵的漏洞對威脅行為者來說仍然是有利可圖的。用戶群越大，潛在的目標就越多，這就增加了對攻擊者的吸引力。由于它們的頻繁濫用，FBI和CISA已經發布了一份聯合警告，警告Fortinet的用戶和管理員提防高級持續威脅（APT）攻擊者積極利用現有和未來的關鍵VPN漏洞。這些漏洞極有可能繼續被用于在脆弱的環境中獲得最初的立足點，作為未來攻擊的跳板。

2—4. Microsoft Exchange Server（CVE-2021-34473、CVE-2021-31207、CVE-2021-34523） 

Microsoft Exchange Server是一個流行的電子郵件和支持系統，適用于全球組織，既可以部署在本地，也可以部署在云中。時至今日，在未打補丁的Microsoft Exchange Server本地版本中發現的一系列漏洞仍在面向互聯網的服務器上被積極利用。

這一系列漏洞被統稱為“ProxyShell”，包括CVE-2021-34473、CVE-2021-31207和CVE-2021-34523，影響多個版本的本地Microsoft Exchange服務器。ProxyShell以未打補丁的Exchange服務器為目標，實現預認證的遠程代碼執行（RCE）。在這三個漏洞中，CVE-2021-34473的CVSS得分最高，為9.1。雖然其余的漏洞最初被歸類為“不太可能被利用”，但當它們與CVE-2021-34473結合使用時，就會給攻擊者帶來巨大的價值。總之，ProxyShell允許攻擊者在端口443的易受攻擊的Exchange服務器上執行任意命令。

這三個漏洞都在2021年得到了修補，但安全研究人員目前正在追蹤幾個已知利用ProxyShell漏洞的未分類威脅（UNC）組織，同時預測隨著未來幾代威脅參與者采用有效漏洞，會出現更多集群。在一個被追蹤為UNC2980的特定威脅活動集群中，Mandiant的研究人員觀察到，ProxyShell漏洞被用于一次網絡間諜活動中。在這次行動中，UNC2980通過利用ProxyShell獲得訪問權限并部署web shell后，將多個工具投放到美國大學的系統環境中。在通過ProxyShell進行攻擊后，攻擊者使用公開可用的工具（如Mimikatz、HTRAN和EarthWorm）進行攻擊后活動。

5. 微軟各種產品（CVE-2022-30190）

被稱為“Follina”的CVE-2022-30190是一個嚴重的RCE漏洞，影響多個Microsoft Office產品。Follina允許攻擊者在說服用戶打開惡意Word文檔或任何其他處理URL的向量后，執行任意代碼。由于大量未打補丁的Microsoft Office產品可用，Follina持續出現在各種網絡攻擊中。

已知威脅行為者通過網絡釣魚騙局利用Follina漏洞，使用社會工程技術誘騙用戶打開惡意Office文檔。當用戶在Office應用程序中遇到嵌入式鏈接時，這些鏈接將被自動獲取，從而觸發Microsoft Support Diagnostic Tool（MSDT）協議的執行。MSDT（MSDT .exe）是一項微軟服務，主要用于收集系統崩潰信息，以便向微軟支持部門報告。然而，威脅行為者可以通過制作鏈接來利用此協議強制執行惡意PowerShell命令，而無需任何進一步的用戶交互。這帶來了嚴重的安全風險，因為它允許攻擊者通過看似無害的鏈接在目標系統上遠程執行未經授權的命令。

最近，Follina漏洞被用作零日漏洞來支持針對關鍵行業組織的威脅活動。從2022年3月到5月，一個被追蹤為UNC3658的活動集群利用Follina攻擊菲律賓政府。同年4月，UNC3347針對南亞電信實體和商業服務的運動中出現了更多的Follina樣本。第三個名為UNC3819的集群也使用CVE-2022-30190攻擊俄羅斯和白俄羅斯的組織。

6. Zoho ManageEngine ADSelfService Plus漏洞（CVE-2021-40539）

2021年底，Zoho ManageEngine ADSelfService Plus軟件中一個已修補的關鍵漏洞，導致國防、醫療、能源、技術和教育領域的至少9家實體遭到攻擊。據悉，該產品為Active Directory和云應用程序提供了全面的自助密碼管理和單點登錄（SSO）解決方案，旨在允許管理員對安全的應用程序登錄實施雙因素身份驗證（2FA），同時授予用戶自主重置密碼的能力。

該漏洞被追蹤為CVE-2021-40539，允許威脅行為者獲得對受害組織系統的初始訪問權限。CVE-2021-40539（CVSS評分9.8）是一個身份驗證繞過漏洞，影響可用于RCE的REST API URL。作為回應，CISA發布了一個關于零日漏洞的警告，告知用戶攻擊者如何利用該漏洞部署web shell以進行“利用后”（post-exploitation）活動，例如竊取管理員憑據，進行橫向移動，以及泄露注冊表和活動目錄（AD）文件。

AD和云應用程序的SSO解決方案中的漏洞尤為嚴重。如果這些漏洞被成功利用，攻擊者基本上可以通過AD訪問企業網絡深處的關鍵應用程序、敏感數據和其他區域。

【CVE-2021-40539漏洞分析流程圖（來源：Zoho）】

最近，在針對紅十字國際委員會（ICRC）的攻擊中也發現了利用CVE-2021-40539的漏洞。紅十字會在聲明中承認，他們錯過了可以保護自身免受攻擊的關鍵補丁，強調了維護一個強大的補丁管理流程的重要性。由于這次襲擊，參與紅十字國際委員會“重建家庭聯系”（Restoring Family Links）項目的51.5萬多人的姓名、地點和聯系信息遭到泄露。

7—8. Atlassian Confluence服務器和數據中心（CVE-2021-26084、CVE-2022-26134） 

許多政府和私營企業使用的協作和文檔平臺Atlassian Confluence同樣備受威脅行為者青睞。此次入圍的CVE-2021-26084和CVE-2022-26134兩個漏洞都與對象圖導航語言（OGNL）注入有關。

CVE-2021-26084的首次大規模利用發生在2021年9月，目標是廣受歡迎的基于web的文檔服務。Confluence平臺旨在允許多個團隊在共享項目上進行協作。惡意行為者可以利用命令注入漏洞CVE-2021-26084在Confluence服務器或數據中心實例上執行任意代碼。攻擊者基本上擁有與運行服務的用戶相同的權限，因此能夠執行任何命令，獲得提升的管理權限，并在環境中建立立足點。CISA發布了一份建議，指導用戶和管理員檢查Atlassian的更新，以防止被入侵。

僅僅9個月后，Atlassian又發布了針對Confluence服務器和數據中心的另一個OGNL注入漏洞。該漏洞被跟蹤為CVE-2021-26134，它允許未經身份驗證的攻擊者在所有受支持的Confluence數據中心和服務器版本中執行任意代碼。在最初披露的一周內，概念驗證（PoC）發布后，這個關鍵級別的漏洞迅速成為被利用最多的漏洞之一。在這種情況下，CVE-2021-26134被用來在服務器上實現未經身份驗證的RCE，然后投置一個Behinder web shell。Behinder web shell賦予了惡意行為者非常強大的功能，例如與Meterpreter和Cobalt Strike的交互以及僅限內存（memory-only）的web shell。

根據Atlassian網站所示，該公司支持83%的《財富》500強公司，每月有1000萬活躍用戶，在190多個國家擁有超過23.5萬用戶。這兩個基于Atlassian的CVE展示了出于經濟動機的威脅行為者如何不斷利用漏洞同時攻擊許多有吸引力的目標。

9. Log4Shell（CVE- 2021 - 44228）

Log4shell被追蹤為CVE-2021-44228，也被稱為“Log4j漏洞”，是在Apache Log4j（一個流行的基于java的日志庫，廣泛用于各種應用程序）中發現的最嚴重的RCE漏洞。該漏洞允許遠程攻擊者在受影響的系統上執行任意代碼，從而導致未經授權的訪問、數據泄露，甚至危及整個系統。

該漏洞于2021年12月被首次公開披露，究其原因是在“log4j2”組件的查找機制中使用了不受信任的數據，使攻擊者能夠通過精心制作的日志消息注入惡意代碼。這個缺陷暴露了各種各樣的應用程序，包括web服務器、企業軟件和基于云的服務，它們都依賴于Log4j進行日志記錄。

盡管Apache很快發布了10.0級RCE漏洞的補丁，但安全專家確認，鑒于其在主要供應商中的廣泛使用，該漏洞利用將繼續進行，并可能導致廣泛的惡意軟件部署。此后，CISA發布了一項具有約束力的操作指令（BOD），命令聯邦民事行政部門（FCEB）機構修補他們的系統，以應對這一關鍵漏洞。

Log4shell的快速利用歸功于它在不同行業和平臺上的廣泛部署。更重要的是，修補漏洞已被證明極具挑戰性，因為許多組織難以及時識別和更新其基礎設施中的所有Log4j實例。

10—11. VMware Workspace ONE訪問和身份管理器（CVE-2022-22954、CVE-2022-22960） 

VMware是一款流行的虛擬化軟件，它經常淪為包括APT組織在內的各級網絡攻擊者的目標。利用VMware的漏洞可以授權對平臺上托管的虛擬機和關鍵數據進行未經授權的訪問。由于VMware在單個物理服務器上虛擬化多個系統，因此成功的攻擊可能同時危及多個虛擬機。通常，攻擊者選擇瞄準VMware環境是為了在更大的網絡中獲得立足點，利用虛擬化基礎設施的信任和可訪問性。VMware的漏洞在CISA今年的漏洞排行榜上占據了兩個位置。

首先，CVE-2022-22954（CVSS評分9.8）是一個服務器端模板注入漏洞，可以被具有網絡訪問權限的惡意行為者觸發，從而在VMware的Workspace ONE access & Identity Manager中實現RCE。該漏洞的PoC在去年春天發布后，安全研究人員就發現它被用于主動攻擊，感染了帶有挖礦機的服務器。

其次，CVE-2022-22960是一個特權升級漏洞。根據CISA關于此漏洞的建議，由于支持腳本中的權限不正確，它使具有本地訪問權限的惡意行為者能夠將特權升級為root。如果與CVE-2022-22954鏈接在一起，攻擊者可以作為VMware用戶執行任意shell命令，然后擦除日志，升級權限，并橫向移動到具有root訪問權限的其他系統。

12. F5Networks BIG-IP（CVE-2022-1388）

去年9月，F5發布了一個與BIG-IP產品套件相關的關鍵RCE漏洞補丁，幾天后，安全研究人員就能夠針對該漏洞創建一個漏洞利用程序。CVE-2022-1388（CVSS評分9.8）被歸類為缺失身份驗證漏洞，涉及iControl REST身份驗證繞過，可能導致攻擊者獲得訪問權限并控制受損的BIG-IP系統。攻擊者可以執行許多惡意操作，例如為未來的攻擊加載web shell，部署加密貨幣礦工和泄露敏感數據。

遠程代碼執行缺陷很容易被利用，這使得它們成為機會主義威脅行為者的攻擊目標。每當在面向互聯網的服務中發現漏洞時，威脅行為者肯定會迅速利用它們。像CVE-2022-1388這樣的漏洞提供了對目標網絡的即時初始訪問，并且通常使攻擊者能夠通過橫向移動和特權升級進行攻擊。

結語 

企業安全團隊必須承認，舊的漏洞仍然存在，并繼續構成重大威脅。雖然最新的CVE通常更引人注目，但CISA的年度常用漏洞清單清楚地提醒人們，已知的漏洞仍然能夠對易受攻擊的系統造成嚴重破壞。

除了全面的列表之外，CISA還為供應商和技術組織提供了識別和減輕潛在風險的指導。建議包括采用“設計即安全”（secure-by-design）實踐，并優先修補已知的被利用的漏洞，從而最大限度地降低妥協的風險。還鼓勵供應商建立協調一致的漏洞披露程序，以便對發現的漏洞進行根本原因分析。

原文鏈接：https://www.sentinelone.com/blog/enterprise-security-essentials-top-12-most-routinely-exploited-vulnerabilities/