NVD 公开数据显示,2022 年共披露安全漏洞23900+枚,其中低风险漏洞占比11.13%,中高风险漏洞占比较约53.82%,高危漏洞占比35.05%。从数据可以看出,中高危漏洞占比近89%,如此风险程度的漏洞一旦被潜在网络犯罪分子利用,会给企业组织带来毁灭性打击。
不仅仅漏洞数量和危害程度与日俱增,有漏洞的软硬件占比也逐年增长。新思科技发布的《2022年软件漏洞快照》报告显示,在其对2700多 个 Web 应用、移动应用、源代码文件、软件和网络系统进行安全测试后,结果显示 95% 的应用中存在某种形式的安全漏洞。
中高危漏洞数量占比逐渐攀升主要原因无外乎企业安全预算和及重视程度难以匹配黑客技术迭代和应用设备部署的数量,再加上人工智能、大数据、物联网等新技术的应用,种种因素叠加,造成当下漏洞数量、修补难度、危害程度和影响范围都逐渐增长的现状。
安全人员证实安全漏洞数量是与应用程序及软硬件设备发布时间呈正相关。Veracode 分析结果显示,32% 的应用程序在第一次发布扫描时会出现漏洞,随着时间推移漏洞积累越来越多。
本文从漏洞披露时间、危害程度、影响范围等多个维度,盘点2022年高危漏洞TOP 10(排名不分先后)。
1. F5 BIG-IPF5 BIG-IP 访问控制错误漏洞
CVE编号:CVE-2022-1388
CVE-2022-1388 漏洞于2022年5月首次被披露, 存在于F5 BIG-IP软硬件套件中的BIG-IP iControl REST身份验证组件,主要影响 BIG-IP 16.x: 16.1.0 - 16.1.2、BIG-IP 15.x: 15.1.0 - 15.1.5、BIG-IP 14.x: 14.1.0 - 14.1.4、BIG-IP 13.x: 13.1.0 - 13.1.4、BIG-IP 12.x: 12.1.0 - 12.1.6、BIG-IP 11.x: 11.6.1 - 11.6.5等几个版本。
据悉,CVE-2022-1388漏洞允许未经身份验证的攻击者通过BIG-IP 管理界面和自身IP地址对 iControl REST API 接口进行网络访问,进而在目标主机上执行任意系统命令、创建或删除文件或禁用BIG-IP上的服务。漏洞披露后,研究人员发现旨在擦除设备内容或投放 web shell 恶意脚本的多起攻击企图利用该漏洞。
官方补丁:
https://support.f5.com/csp/article/K23605346
2. Spring Framework 远程代码执行漏洞
CVE编号:CVE-2022-22965
springframework 是spring 里面的一个基础开源框架,主要用于javaee的企业开发。2022年3月,Spring框架曝出追踪为CVE-2022-22965的RCE 0day漏洞。安全研究人员发现,一旦攻击者成功利用该漏洞,实现远程代码执行,便可对目标主机的后门文件写入和配置修改,继而通过后门文件访问,获得目标主机权限,进而攻击整个系统。
目前受影响的Spring Framework的版本主要是Spring Framework 5.3.X < 5.3.18 和Spring Framework 5.2.X < 5.2.20。对于CVE-2022-22965漏洞必须加以重视,有证据表明其已经变成网络犯罪分子手里的武器,用于部署加密货币挖矿软件,并且用在了使用臭名昭著的Mirai恶意软件的僵尸网络。
官方补丁:
https://tanzu.vmware.com/security/cve-2022-22965
3. Atlassian Confluence Server 注入漏洞
CVE编号:CVE-2022-26134
Atlassian Confluence是Atlassian公司出品的专业wiki程序,可以作为一个知识管理的工具,通过它能够实现团队成员之间的协作和知识共享。2022年6月3日,Atlassian发布官方公告,披露Atlassian Confluence中存在CVE-2022-26134远程代码执行漏洞。一旦未经身份验证的远程攻击者成功利用该漏洞,就能够创建新的管理员帐户、执行命令并最终接管服务器。
主要受影响版本: 1.3.0 <= Confluence Server and Data Center < 7.4.17、7.13.0 <= Confluence Server and Data Center < 7.13.7、 7.14.0 <= Confluence Server and Data Center < 7.14.3、7.15.0 <= Confluence Server and Data Center < 7.15.2、7.16.0 <= Confluence Server and Data Center < 7.16.4、7.17.0 <= Confluence Server and Data Center < 7.17.4、7.18.0 <= Confluence Server and Data Center < 7.18.1。
官方补丁:
https://jira.atlassian.com/browse/CONFSERVER-79016
4. Apache Fineract 路径遍历漏洞
CVE编号:CVE-2022-44635
Apache Fineract是用于金融服务的开源软件,旨在实现核心银行系统平台化建设。2022年11月,Apache发布安全公告表示Apache Fineract的文件上传组件中存在路径遍历漏洞(CVE-2022-44635),未经身份验证的攻击者可利用漏洞远程执行代码。影响范围:Apache Fineract <= 1.8.0(分支补丁版本1.7.1不受影响)
官方补丁:
https://lists.apache.org/thread/t8q6fmh3o6yqmy69qtqxppk9yg9wfybg
5. Microsoft Windows Support Diagnostic Tool 操作系统命令注入漏洞
CVE编号:CVE-2022-30190
CVE-2022-30190于2022年5月被安全研究人员披露,是微软Windows支持诊断工具(MSDT)中的一个远程代码执行漏洞,允许远程攻击者在目标系统上执行任意shell命令。
漏洞公开披露后,安全研究人员观察到多起涉及利用该漏洞的案例。此外,Follina漏洞还被用来植入远程访问工具,比如Qbot和AsyncRAT,并在Windows系统上部署后门。
官方补丁:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
6. Google Chrome 资源管理错误漏洞
CVE编号:CVE-2022-0609
CVE-2022-0609是Chrome 存在资源管理错误漏洞,该漏洞源于谷歌Chrome中的动画组件内的免费使用后错误。攻击者可利用该漏洞创建一个特别制作的网页,诱骗受害者访问它,触发使用后免费错误,并在目标系统上执行任意代码。
目前,研究人员已发现两起黑客活动(名为“Operation Dream Job”和“Operation AppleJeus”)利用了该漏洞,这两起黑客活动攻击美国的媒体、IT、加密货币和金融技术等行业的多家组织。
官方补丁:
https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html
7. 合勤科技 USG FLEX 操作系统命令注入漏洞
CVE编号:CVE-2022-30525
Zyxel USG FLEX是中国合勤科技(Zyxel)公司的一款防火墙,能够提供灵活的 VPN 选项(IPsec、SSL 或 L2TP),为远程工作和管理提供灵活的安全远程访问。2022年5月,安全研究人员发现USG FLEX 操作系统中存在安全漏洞,潜在攻击者能够利用该漏洞修改特定文件,在易受攻击的设备上执行一些操作系统命令。影响版本:合勤科技 USG FLEX 5.00版本至5.21版本。
官方补丁:
https://www.zyxel.com/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtml
8. Apache Commons BCEL 缓冲区错误漏洞
CVE编号:CVE-2022-42920
Apache Commons BCEL是美国阿帕奇(Apache)基金会的一个字节代码工程库。旨在为用户提供分析、创建和操作(二进制)Java类的便捷方式。2022年11月,安全研究人员发现 Apache Commons BCEL存在缓冲区错误漏洞,该漏洞源于存在越界写入问题。
Apache Commons BCEL有许多API,通常只允许更改特定的类特征,但由于存在越界写入问题,这些API可用于生成任意字节码。 在将攻击者可控制的数据传递给这些API的应用程序中,这可能会被滥用,从而使攻击者对生成的字节码拥有比预期更多的控制权。
官方补丁:
https://lists.apache.org/thread/lfxk7q8qmnh5bt9jm6nmjlv5hsxjhrz4
9. WordPress plugin 跨站请求伪造漏洞
CVE编号:CVE-2022-0215
WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站,WordPress plugin是其中的一个应用插件。
2022年1月,安全人员发现WordPress 插件存在跨站请求伪造漏洞,追踪为CVE-2022-0215,攻击者可以更新站点上的任意选项,这些选项可用于创建管理用户帐户并授予对受感染站点的完全特权访问权限。
官方补丁:
https://www.wordfence.com/blog/2022/01/84000-wordpress-sites-affected-by-three-plugins-with-the-same-vulnerability/
10. Fastjson代码问题漏洞
CVE编号:CVE-2022-42920
Fastjson是一款开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。Fastjson被众多java软件作为组件集成,广泛存在于java应用的服务端代码中。
2022年2月,安全研究人员发现Fastjson 1.2.83 之前版本中存在安全漏洞,该漏洞源于容易绕过默认的autoType 关闭限制来反序列化不受信任的数据,攻击者利用此漏洞可在目标服务器上实现任意代码执行,造成服务器权限被窃取、敏感信息泄漏等严重影响。
官方补丁:
https://github.com/alibaba/fastjson/wiki/security_update_20220523
结语
随着互联网和新兴技术的快速发展,网络攻击变的愈来愈快速和复杂。2022年,高危漏洞数量延续增长趋势,企业安全的进化难以跟上网络攻击的快速变化,供应链和第三方风险不断累积,漏洞优先级排序和漏洞修补难度不断加大,暴露面和攻击面不断扩大,MTTR等关键安全运营指标每况愈下,安全风险不断攀升。
安全漏洞问题如此严峻,引起了社会广泛关注。2021年7月,工业和信息化部、国家互联网信息办公室和公安部在《中华人民共和国网络安全法》的基础上,联合印发了《网络产品安全漏洞管理规定》,规范网络产品安全漏洞发现、报告、修补和发布等行为,促进企业进一步完善漏洞安全机制。