CISA、NSA 和 FBI 与澳大利亚、加拿大、新西兰和英国的网络安全当局合作,发布了 12 年 2022 个最常被利用的漏洞列表。
对 12 年 2022 个最常被利用的漏洞的了解使组织能够确定其补丁管理操作的优先级,以最大限度地减少攻击面。
“此通报提供了有关 2022 年恶意网络行为者经常和频繁利用的常见漏洞和披露 (CVE) 以及相关的常见弱点枚举 (CWE) 的详细信息。”
“编写机构强烈鼓励供应商、设计人员、开发人员和最终用户组织实施本通报的缓解措施部分中的建议,以降低恶意网络参与者入侵的风险。”
政府专家警告说,在 2022 年,大多数被利用的漏洞都是较旧的软件漏洞,威胁行为者针对的是未修补的、面向互联网的系统。
列表中许多漏洞的概念验证 (PoC) 代码的可用性使威胁参与者很容易利用这些问题来执行广泛的恶意活动。
根据该公告,威胁行为者通常在公开披露的前两年内利用已知漏洞最成功。
以下是 12 年 2022 个最常被利用的漏洞列表:
| CVE | 供应商 | 产品 | 类型 | CWE |
|---|---|---|---|---|
| 福蒂内特 | FortiOS 和 FortiProxy | SSL VPN 凭据公开 | ||
CVE-2021-34473(代理外壳) | Microsoft | 交换服务器 | RCE | |
CVE-2021-31207(代理外壳) | Microsoft | 交换服务器 | 安全功能绕过 | |
CVE-2021-34523(代理外壳) | Microsoft | 交换服务器 | 特权提升 | |
| Zoho ManageEngine | ADSelfService Plus | RCE/身份验证旁路 | ||
| 阿特拉斯安 | 汇流服务器和数据中心 | 任意代码执行 | ||
CVE-2021- 44228(日志4外壳) | 阿帕奇 | 日志4j2 | RCE | CWE-917 表达式语言语句中使用的特殊元素的不当中和(“表达式语言注入”) CWE-20 不正确的输入验证 CWE-400 不受控制的资源消耗 CWE-502 不受信任数据的反序列化 |
| VMware | 工作区 ONE 访问和身份管理器 | RCE | ||
| VMware | Workspace ONE Access、Identity Manager 和 vRealize Automation | 权限管理不当 | ||
| F5 网络 | 大知识产权 | 缺少身份验证漏洞 | ||
| Microsoft | 多种产品 | RCE | 未列出 | |
| 阿特拉斯安 | 汇流服务器和数据中心 | RCE |
在2022年,最常被利用的漏洞是 Fortinet SSL VPN 中的一个漏洞,该漏洞被跟踪为 CVE-2018-13379。该漏洞被多个威胁行为者利用[1,2,3,4,5],包括针对关键基础设施的与俄罗斯相关的APT组织。
该通报还包括 30 年新增 2022 个常规利用的漏洞。
该通报还为供应商和开发人员提供了缓解措施。
