2020及2021年常被利用的30個軟體漏洞
對於所有的0day,定製的惡意軟體和其他完全未知的安全漏洞,它們已經存在多年並被廣泛利用。為了更好地表明這一點,美國聯邦調查局(FBI)、美國網路安全與基礎設施安全域性(CISA)、澳大利亞網路安全中心(ACSC)和英國國家網路安全中心(NCSC)釋出了聯合網路安全諮詢。在這份報告中,他們列出了2020年和2021年使用的30大漏洞。
儘管軟體供應商和開發人員盡了最大努力,但其中許多漏洞已經存在多年。如Microsoft 的Print Spooler中的“PrintNightmare”漏洞表明,僅僅因為某些事情已知並不意味著它很容易被解決。
Accellion
在檢視此列表時請記住,本文中的每個漏洞在某些時候都被認為是“關鍵的”,而且它們都被廣泛使用。因此,所有這些的主要結論是,如果你正在使用這裡列出的產品,請確保立即打補丁。
這裡提到的FTA伺服器主要用於傳輸非常大的檔案。該程式自2018年以來一直處於更新狀態,已經更新了20多年。自 2021年4月30日起,該程式被視為生命週期結束,由他們的Kiteworks軟體接管。上述四個漏洞都在同一個包中公佈,每個都是不同的漏洞型別。
Qualys 是受此漏洞影響的知名組織之一,其DMZ中的FTA伺服器遭到破壞。
Atlassian
Confluence伺服器是一個wiki風格的協作環境。通過在易受攻擊的軟體版本中利用“小部件聯結器巨集”,惡意使用者將能夠瀏覽伺服器上的目錄、部署模板並實現遠端程式碼執行。
這一特殊漏洞已被用於部署加密貨幣挖掘軟體和勒索軟體。
Crowd和Crowd Data Center都是身份管理系統,提供單點登入服務,可以通過一箇中央提供商幫助跨多個平臺進行身份驗證。這些程式的產品版本預設情況下錯誤地啟用了一個名為pdkinstall的開發外掛。通過這個漏洞,惡意使用者可以安裝他們的外掛,從而建立遠端程式碼執行場景。
Citrix
在2019冠狀病毒病(COVID-19)大流行期間,人們迅速轉向遠端工作,在許多情況下,這是意外的。這意味著許多組織在未完全配置的狀態下部署了可能未經測試的遠端訪問系統。因此,這一漏洞是2020年被利用最多的漏洞。
卡內基梅隆大學(Carnegie Mellon University)的研究人員能夠證明,該軟體不限制訪問名為“Virtual Private Network”的目錄中的特定指令碼部分,該目錄可以通過目錄遍歷訪問。一旦它們在這個目錄中,它們就可以執行其設計的遠端程式碼執行。
Drupal
Drupal被許多人用作網站和wiki的內容管理系統 (CMS)。該漏洞涉及 Drupal 請求引數的方式。根據Tenable的說法,惡意使用者可以使用它來將有效負載部署到系統而無需輸入滅菌,因為它接受陣列中的引數。
有可能同時利用應用程式和主機作業系統。儘管問題很嚴重,但仍有許多未打補丁的系統,儘管自 2018 年年中以來已有補丁可用。
可以同時利用應用程式和主機作業系統。儘管這個問題很嚴重,而且自2018年年中以來已經有了補丁,但仍然有許多系統沒有補丁。
F5
BIG-IP提供負載均衡、防火牆功能和DNS服務。通過該漏洞,惡意使用者將能夠訪問應用程式的配置功能,以及他們選擇的執行程式碼。
然而,像許多其他配置工具一樣,只允許從特定的ip訪問上層控制提供了一個快速的解決方案。與此同時,啟用了永久修復——這一點對於多個供應商來說非常重要。
Fortinet
與上面報道的Citrix的原因類似,Fortinet的SSL Virtual Private Network產品在2020年的使用出現爆炸式增長,使其成為攻擊者非常誘人的目標。所有這三個問題都圍繞著遠端訪問提供。
2018年漏洞允許惡意使用者從 FortiOS 入口網站移動到包含系統檔案的目錄,但不一定要上傳自己的。雖然這聽起來不一定像其他一些漏洞那麼糟糕,但據認為這一發現的研究人員稱,它允許“預授權任意檔案讀取”,或者更具體地說,他們可能會讀取密碼資料庫和其他敏感資料。
2019年漏洞可能允許同一本地子網的使用者模擬LDAP身份驗證伺服器,並可能獲取敏感資料。網際網路安全與研究集團(Internet Security and Research Group)詹姆斯·倫肯(James Renken)是該漏洞的發現者之一,他重申,如果在多個地點使用被盜的憑證,訪問可能會迅速傳播。
2020年漏洞,如果使用者更改使用者名稱的大小寫,可能允許使用者繞過雙因素認證要求。例如,如果惡意使用者利用2018漏洞獲取證書,他們就可以利用該漏洞獲得完全訪問權,而不需要2FA令牌。
Microsoft
Microsoft 的 Windows 作業系統、Office 生產力軟體、Sharepoint 內容管理系統和 Exchange 電子郵件伺服器產品為許多企業提供支援。 2017 Office漏洞允許惡意使用者將檔案分發給合法使用者,然後在Office 套件程式或獨立的寫字板應用程式中開啟該檔案。一旦使用者開啟檔案,惡意使用者希望的任何程式碼都將以登入使用者的許可權執行。這在概念上與 2019 Sharepoint 漏洞非常相似,其中程式碼可以作為 Sharepoint 應用程式池和伺服器場帳戶的憑據執行。
後臺智慧傳輸服務 (BITS)為Windows提供了大量的更新功能。利用這個漏洞,已經可以訪問系統的惡意使用者可以提升他們的許可權來控制整個本地計算機。
Netlogon允許對屬於Microsoft的Active Directory域結構的使用者和計算機進行身份驗證。利用該漏洞可能允許某人冒充域控制器並可能獲得域管理員許可權。
2020 Exchange 漏洞是由 Exchange 2019 中的 Exchange 控制面板 Web 應用程式問題引起的。該問題與加密金鑰有關,特別是它在安裝時不會生成新金鑰。如果惡意使用者有權訪問預設金鑰,他們可能會導致 Exchange 解密其資料。這可以建立一個遠端程式碼執行系統-伺服器上的最高許可權級別。
另一方面,2021年的Exchange漏洞是攻擊鏈的一部分。根據微軟公司客戶安全和信任副總裁Tom Burt的部落格文章,該攻擊包含三個步驟:“首先,它會通過竊取的密碼或利用之前未發現的漏洞將自己偽裝成有權訪問的人。其次,它會建立所謂的web shell 來遠端控制受感染的伺服器。最後,它會使用遠端訪問。”
MobileIron
MobileIron 提供了許多處理移動裝置管理的服務。Devcore 的 Orange Tsai 再次在 MobileIron Core產品中發現了一個漏洞,該漏洞可能允許惡意使用者在未經身份驗證的情況下執行其程式碼。
Pulse Secure
Pulse Secure的Connect Secure是SSL Virtual Private Network的一種形式,我們已經在這個列表中多次看到。2019年漏洞可能允許未經身份驗證的使用者讀取通過Virtual Private Network傳輸的檔案,獲得對純文字憑證的訪問,並在客戶端連線到Virtual Private Network伺服器時執行命令。
2021漏洞可能允許未經身份驗證的使用者通過根級訪問在Virtual Private Network閘道器本身上執行他們的程式碼。
Telerik
Telerik的ASP.NET AJAX UI允許快速建立和部署Web表單。此漏洞在概念上類似於Exchange解密漏洞。如果惡意使用者可以通過其他漏洞或其他方式訪問加密金鑰,他們就可以在伺服器上執行自己的程式碼。
VMWare
VMWare允許在主機作業系統之上執行虛擬機器,vSphere 是它們的主要管理介面。第一個漏洞是由於預設啟用的外掛上沒有輸入驗證。因此,使用者可以在主機作業系統上執行他們的程式碼。第二個漏洞也涉及外掛,但不同的是,在不需要驗證的情況下,它允許使用者執行受影響的外掛通常可以執行的任何操作。
- 給安全平臺編寫外掛模組的思路分享
- 德州近200萬個人資訊被曝光了三年
- VMware 修補了多個產品中的關鍵身份驗證繞過漏洞
- 微軟:警惕針對 MSSQL 伺服器的暴力攻擊
- 警惕間諜軟體!逾200 Playstore應用程式或存在風險
- 委內瑞拉心臟病專家被指控是Thanos勒索軟體的幕後主使
- iPhone曝出新的攻擊面,即使關閉也可執行惡意軟體
- HTML附件在網路釣魚攻擊中至今仍很流行
- 紅隊滲透專案之SickOs 1.1
- 鏈家IT管理員刪除資料庫,被判7年有期徒刑
- Sysrv 殭屍網路新變種正攻擊 Windows及Linux 伺服器
- 深度洞察 |關於JavaScript開源生態中安全漏洞傳播及其演變分析
- ElasticSearch伺服器配置錯誤,暴露579GB使用者網站記錄
- 既能挖礦還能勒索,Eternity 惡意軟體工具包正通過Telegram傳播
- 埠掃描技術實現分析
- 新型隱形 Nerbian RAT 惡意軟體橫空出世
- 研究人員發現一種新的網路釣魚即服務——Frappo
- 微軟修復了所有Windows版本中的新NTLM零日漏洞
- 研究人員警告:“Raspberry Robin”或正通過外部驅動傳播
- 烏克蘭 IT 軍團和匿名者組織,持續攻擊俄羅斯實體