对于威胁参与者来说,利用已知的错误和未修补的漏洞仍然是一种不屈不挠的策略。从安全绕过和凭据暴露到远程代码执行,软件漏洞仍然是网络攻击者寻求进入利润丰厚系统的方法的交易工具。

虽然在Active DirectoryMOVEit文件传输应用程序中发现的新漏洞以及AlienFox工具包或最近的IceFire勒索软件活动中使用的漏洞今年造成了严重破坏,但许多现有的漏洞在被滥用的频率方面脱颖而出。

在这篇文章中,我们深入研究了 CISA 的最新综述,其中列出了 2022 年最常被利用的 12 个漏洞,这些漏洞继续对企业业务构成重大威胁。

1. Fortinet FortiOS 和 FortiProxy (CVE-2018-13379)

Fortinet FortiOS SSL VPN 主要用于边界防火墙,通过隔离敏感的内部网络与公共互联网来工作。在 CVE-2018-13379 的情况下,这是一个特别严重的路径遍历漏洞,APT 参与者可以使用特制的 HTTP 资源请求来窃取合法凭据并连接到未修补的 VPN 并下载系统文件。尽管早在 2019 年就发布了补丁,但 CVE-2018-13379 在过去三年中多次针对政府、商业和技术服务网络卷土重来。

2020 年,一名黑客发布了一份单行漏洞列表,以利用此漏洞从近 50,000 台 Fortinet VPN 设备中窃取 VPN 凭据。当时的安全研究人员指出,在50,000个域名中,有四十多个属于知名的金融和政府组织。那年晚些时候,该漏洞再次出现;这一次被政府支持的行为者利用,致力于破坏美国的选举支持系统。在本次活动中,CVE-2018-13379 与其他 CVE-2018-13379 链接在一起,以访问利用暴露于 Internet 的服务器并获得访问权限。此漏洞在 2021 年再次出现,当时通过利用 CVE-2018-13379 获得的 Fortigate SSL VPN 设备的 87,000 组凭据在线泄露。

这些关键缺陷对于威胁行为者来说仍然是有利可图的,他们依靠 Fortinet 作为 VPN 解决方案提供商的广泛普及和采用。用户群越大,潜在目标就越多,这增加了对攻击者的吸引力。由于经常滥用,FBI 和 CISA 此后发布了一份联合公告,警告 Fortinet 的用户和管理员注意高级持续威胁 (APT) 行为者积极利用现有和未来的关键 VPN 漏洞。这些漏洞很可能会继续被用于在易受攻击的环境中获得初始立足点,作为未来攻击的前兆。

有关此漏洞的更多详细信息,请参阅公告。Fortinet 还在此处提供了缓解和预防的步骤。

2 – 4.Microsoft Exchange Server(CVE-2021-34473、CVE-2021-31207、CVE-2021-34523)

Microsoft Exchange Server 是面向全球组织的常用电子邮件和支持系统,部署在本地和中。在 Microsoft Exchange Server 的未修补本地版本中发现的一系列漏洞于 2021 年首次出现,仍在面向互联网的服务器上被积极利用。

此漏洞链统称为“ProxyShell”,包括 CVE-2021-34473CVE-2021-31207 和 CVE-2021-34523,可影响多个版本的本地 Microsoft Exchange Server。ProxyShell 以未修补的 Exchange 服务器为目标,以实现预身份验证的远程代码执行 (RCE)。在这三者中,CVE-2021-34473 的 CVSS 评分最高,为 9.1。虽然其余部分最初被归类为“利用可能性较小”,但当它们与 CVE-2021-34473 结合使用时,它们为攻击者带来了巨大的价值。总之,ProxyShell 允许攻击者在端口 443 上的易受攻击的 Exchange 服务器上执行任意命令。

这三个漏洞都在 2021 年得到了修补,但安全研究人员目前跟踪了几个已知利用 ProxyShell 漏洞的未分类威胁 (UNC) 组,同时预测随着未来几代威胁行为者采用有效的漏洞利用,会出现更多集群。在被跟踪为UNC2980的特定威胁活动集群中,Mandiant 研究人员观察到在网络间谍行动中利用的 ProxyShell 漏洞,据报道,这些漏洞与讲中文的行为者有关。在此操作中,UNC2980利用 ProxyShell 获得访问权限并部署 Web Shell 后,将多个工具放入美国大学的环境中。通过 ProxyShell 进行利用后,威胁行为者使用 Mimikatz、HTRAN 和 EarthWorm 等公开可用的工具进行利用后活动。

自发现以来,利用 ProxyShell 的多次入侵针对教育、政府、商业服务和电信行业。Microsoft 2021 年 5 月和 2021 年 6 月的安全更新列出了针对 ProxyShell 的必要更新。有关此漏洞的更多详细信息,请参阅 Microsoft 的博客文章

5. Microsoft 各种产品 (CVE-2022-30190)

CVE-2022-30190 被称为“Follina”,是一个影响多个 Microsoft Office 产品的高严重性 RCE 漏洞。Follina 被认为被各种讲中文的威胁行为者利用,在说服用户打开恶意 Word 文档或任何其他处理 URL 的载体后,允许执行任意代码。由于 Microsoft Office 产品的大量未修补版本可用,Follina 继续出现在各种网络攻击中。它于 2022 年 5 月首次公开披露:

有趣的马尔多克是从白俄罗斯提交的。它使用 Word 的外部链接加载 HTML,然后使用“ms-msdt”方案执行 PowerShell 代码。https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt

— nao_sec (@nao_sec) May 27, 2022

众所周知,威胁行为者会通过网络钓鱼诈骗利用 Follina 漏洞,这些诈骗使用社会工程技术诱骗用户打开恶意 Office 文档。当用户在 Office 应用程序中遇到嵌入链接时,将自动提取这些链接,从而触发 Microsoft 支持诊断工具 (MSDT) 协议的执行。MSDT (msdt.exe) 是一项Microsoft服务,主要用于收集系统崩溃信息,以便向Microsoft支持部门报告。但是,威胁参与者可以通过构建链接来利用此协议来强制执行恶意 PowerShell 命令,而无需任何进一步的用户交互。这带来了严重的安全风险,因为它允许攻击者通过看似无害的链接在目标系统上远程执行未经授权的命令。

Follina 漏洞最近被利用为零日漏洞,以支持针对关键行业组织的威胁活动。从 2022 年 3 月到 5 月,一个被追踪为UNC3658利用 Follina 针对菲律宾政府的活动集群。同年4月,Follina的其他样本出现在UNC3347针对南亚电信实体和商业服务的运动中。第三个被称为 UNC3819 的集群也使用 CVE-2022-30190 攻击俄罗斯和白俄罗斯的组织,这表明可能诱骗与非法入侵乌克兰相关的内容。

CISA 已敦促 Microsoft 用户和管理员查看 Microsoft 的 CVE-2022-30190 指南,以应用必要的变通办法。

6. Zoho ManageEngine ADSelfService Plus (CVE-2021-40539)

2021 年底,国防、医疗保健、能源、技术和教育领域的至少 9 个实体因 Zoho 的 ManageEngine ADSelfService Plus 中的一个修补严重漏洞而受到损害。该产品提供全面的自助式密码管理和单点登录 (SSO) 解决方案,专为 Active Directory 和云应用程序量身定制。此工具旨在允许管理员对安全应用程序登录强制执行双因素身份验证 (2FA),同时授予用户自主重置密码的能力。

该漏洞被跟踪为 CVE-2021-40539,使威胁行为者能够获得对受害者组织系统的初始访问权限。CVE-2021-40539 (CVSS 9.8) 是一个身份验证绕过漏洞,影响可用于 RCE 的 REST API URL。对此,CISA 针对零日漏洞以及如何使用它来部署 Web Shell,允许参与者进行利用后活动,例如窃取管理员凭据、进行横向移动以及泄露注册表配置单元和 Active Directory (AD) 文件。

AD 和云应用程序的 SSO 解决方案中的漏洞尤其严重。如果成功利用它们,攻击者基本上可以通过 AD 访问关键应用程序、敏感数据和企业网络深处的其他区域。

CVE-2021-40539漏洞利用分析流程图(来源:Zoho)

最近,在针对红十字国际委员会 (ICRC) 的攻击中观察到 CVE-2021-40539 被利用。在他们的声明中,红十字会承认错过了可以保护他们免受攻击的关键补丁,强调了保持强大的补丁管理流程的重要性。此次袭击导致红十字国际委员会“重建家庭联系”项目中超过51.5万人的姓名、地点和联系信息遭到泄露。

阅读Zoho的公告,了解有关此漏洞以及如何更新至ADSelfService Plus build 6114的更多详细信息。

7 – 8.Atlassian Confluence Server & Data Center(CVE-2021-26084、CVE-2022-26134)

Atlassian Confluence 是许多政府和私营企业使用的协作和文档平台,它继续吸引威胁参与者的极大关注。在 CISA 最新的常规漏洞列表中,这家总部位于澳大利亚的公司以 CVE-2021-26084 和 CVE-2022-26134 的形式占据了两个位置,它们都与对象图导航语言 (OGNL) 注入案例有关。

CVE-2021-26084 的大规模利用首次发生在 2021 年 9 月,目标是广受欢迎的基于 Web 的文档服务。Confluence 旨在允许多个团队在共享项目上进行协作。CVE-2021-26084 是一个命令注入漏洞,可利用该漏洞在 Confluence Server 或 Data Center 实例上执行任意代码。从本质上讲,攻击者具有与运行服务的用户相同的权限,能够执行任何命令,获得提升的管理员权限,并在环境中建立立足点。CISA 发布了一份公告,指导用户和管理员查看 Atlassian 的更新以防止泄露。

Atlassian Confluence CVE-2021-26084 的大规模开发正在进行中,预计将加速。如果您还没有修补,请立即修补 - 这不能等到周末之后。

— 美国网络司令部网络安全警报 (@CNMF_CyberAlert) 2021 年 9 月 3 日

仅仅九个月后,Atlassian 就针对其 Confluence Server & Data Center 的另一个 OGNL 注入漏洞发出了警告。它被跟踪为 CVE-2021-26134,它使未经身份验证的攻击者能够在所有受支持的 Confluence Data Center and Server 版本中执行任意代码。这个关键级别的漏洞在概念验证 (PoC) 在最初披露后的一周内发布后迅速成为被利用最多的漏洞之一。在此实例中,CVE-2021-26134 用于在服务器上实现未经身份验证的 RCE,然后删除 Behinder Web Shell。Behinder Web Shell 为演员提供了非常强大的功能,例如与 Meterpreter 和 Cobalt Strike 的交互,以及仅内存的 Web Shell。

自从我们昨天发布了关于 Atlassian Confluence 漏洞 (CVE-2022-26134) 的信息以来,@Volexity我们有几个新的观察结果。首先,目标行业/垂直领域非常普遍。这是一个自由的,剥削似乎是协调的。

— 史蒂文·阿黛尔 (@stevenadair) June 3, 2022

根据 Atlassian 的网站,该公司为 83% 的财富 500 强公司提供支持,每月活跃用户 1000 万,以及 190 多个国家/地区的超过 235,000 名用户。这两个基于 Atlassian 的 CVE 展示了出于经济动机的威胁行为者如何不断利用漏洞利用来同时达到许多有吸引力的目标。

9. Log4Shell (CVE-2021-44228)

Log4shell 被分配为 CVE-2021-44228,也称为“Log4j 漏洞”,是在 Apache Log4j 中发现的最高严重性 RCE 缺陷;一个流行的基于 Java 的日志记录库,广泛用于各种应用程序。此漏洞允许远程攻击者在受影响的系统上执行任意代码,从而可能导致未经授权的访问、数据泄露,甚至整个系统遭到破坏。

该漏洞于 2021 年 12 月首次公开披露时曝光。该问题源于在“log4j2”组件的查找机制中使用了不受信任的数据,使攻击者能够通过构建的日志消息注入恶意代码。此漏洞暴露了各种各样的应用程序,包括 Web 服务器、企业软件和基于云的服务,这些应用程序都依赖于 Log4j 进行日志记录。

尽管Apache很快发布了针对10.0级RCE漏洞的补丁,但安全专家证实,鉴于该漏洞在主要供应商中的广泛使用,该漏洞的利用将持续进行,并可能导致广泛的恶意软件部署。此后,CISA发布了一项具有约束力的操作指令(BOD),命令联邦民事行政部门(FCEB)机构针对这一关键漏洞修补其系统。

Log4shell 的快速开发归因于它在不同行业和平台上的广泛采用。多年来,Apache Log4j 库一直是 Java 社区的主要内容,使其存在于无数应用程序和系统中。更重要的是,修补漏洞已被证明具有挑战性,因为许多组织都在努力及时识别和更新其基础设施中的所有 Log4j 实例。

请参阅 CISA 的 GitHub 存储库,了解已知受影响的产品和补丁信息,以及包含受影响组织的技术详细信息和补丁指南的专用页面

10 – 11.VMware Workspace ONE Access & Identity Manager(CVE-2022-22954、CVE-2022-22960)

VMware 是一种流行的虚拟化软件,使其成为所有级别的网络攻击者(包括高级持续威胁 (APT) 组织)的常见目标。利用 VMware 中的漏洞可能会授予对平台上托管的虚拟机和关键数据的未经授权的访问权限。由于 VMware 在单个物理服务器上虚拟化了多个系统,因此成功的攻击可能会同时危及多个虚拟机。通常,攻击者选择以 VMware 环境为目标,以便在更大的网络中站稳脚跟,利用虚拟化基础架构的信任和可访问性。VMware 漏洞在 CISA 今年最常被利用的漏洞列表中占据了两个位置。

首先,CVE-2022-22954 (CVSS 9.8) 是一个服务器端模板注入漏洞,可由具有网络访问权限的恶意行为者触发,以便在 VMware 的 Workspace ONE Access & Identity Manager 中实现 RCE。在去年春季发布该漏洞的 PoC 后,安全研究人员发现它被用于主动攻击,用硬币矿工感染服务器——这是利用新漏洞时常见的第一种攻击模式。VMware 已在此处发布安全公告,其中包含有关此漏洞的更多详细信息。

这正在被广泛利用,并且正在部署加密矿工 #HUMINT
CVE-2022-22954 #Vmware #Workspace 漏洞

期待现在/很快 #ransomware https://t.co/WlVy4EF9ZG

— mRr3b00t (@UK_Daniel_Card) April 13, 2022

其次,CVE-2022-22960 (CVSS) 是一个权限升级漏洞。根据 CISA 关于此漏洞的公告,由于支持脚本中的权限不当,它使具有本地访问权限的恶意行为者能够将权限升级为 root。如果与 CVE-2022-22954 链接在一起,参与者可以以 VMware 用户身份执行任意 shell 命令,然后擦除日志、升级权限并横向移动到具有 root 访问权限的其他系统。

由于 VMware 产品在联邦文职行政部门 (FCEB) 机构以及其他关键行业中普遍使用,因此 CISA 下令向政府机构发出紧急指令,以完成一系列缓解措施。这些措施可以在这里找到。

12. F5 网络 BIG-IP (CVE-2022-1388)

去年 9 月,F5 发布了与其 BIG-IP 产品套件相关的关键 RCE 漏洞补丁几天后,安全研究人员能够利用该漏洞。CVE-2022-1388 (CVSS 9.8) 被归类为缺少身份验证漏洞,与 iControl REST 身份验证绕过有关,该漏洞可能导致攻击者获得访问权限并控制受感染的 BIG-IP 系统。攻击者可以执行许多恶意操作,例如为将来的攻击丢弃 Web shell、部署加密货币矿工和泄露敏感数据。

远程代码执行缺陷很容易被利用,这使得它们很容易成为机会主义威胁参与者的目标。每当在面向互联网的服务中发现漏洞时,威胁行为者肯定会迅速利用它们。CVE-2022-1388 等漏洞提供对目标网络的即时初始访问,通常使攻击者能够进行横向移动和权限升级;这是网络攻击杀伤链中的关键策略。

F5 的安全公告详细介绍了 CVE-2022-1388 入侵指标 (IoC) 和缓解步骤,请参见此处。CISA 还发布了一份公告,以回应该漏洞,以回应在最初披露后不久发布的几个 PoC。

结论

企业安全团队必须承认,旧的漏洞仍然存在,并继续构成重大威胁。虽然最新的 CVE 经常受到关注,但 CISA 的年度常规漏洞列表清楚地提醒我们,现有的漏洞仍然能够对易受攻击的系统造成严重损害。

除了综合列表外,CISA 还为供应商和技术组织提供识别和减轻潜在风险的指导。这些建议包括采用安全设计实践,并优先修补已知被利用的漏洞,从而最大限度地降低入侵风险。还鼓励供应商建立协调的漏洞披露计划,以便对发现的缺陷进行根本原因分析。