近日,美英澳多家网络安全机构发布的联合安全公告揭晓了30个最被利用的安全漏洞过去两年的漏洞。同时,CISA、澳大利亚网络安全中心(ACSC)、英国国家网络安全中心(NCSC)和联邦调查局(FBI)也分享了缓解措施,以帮助私营和公共部门组织解决漏洞。“协作是CISA工作的重要组成部分,今天我们正在与ACSC、NCSC和FBI合作,以发现公共和私人组织应优先修补的安全漏洞,以尽量减少对恶意行为者的暴露,”执行官EricGoldstein说CISA网络安全助理主任。被攻击者利用的风险。”攻击集中在远程工作、虚拟专用网络、云技术根据美国政府收集的数据,自2020年初以来,大多数去年的主要目标漏洞已被披露,这一趋势源于COVID-19。大流行。CISA解释说,“虚拟专用网络和基于云的环境等远程工作选项的快速转变和使用的增加,可能会给努力维护和跟上常规软件修补步伐的网络防御者带来额外负担”,因为威胁行为者利用关于向远程工作的转变,2020年最常见的四个漏洞也主要针对在家工作(WFH)、虚拟专用网络或基于云的技术,如下表所示:CISA补充说,“2021年,恶意网络攻击者继续以面向外部的设备中的漏洞为目标。2021年被高度利用的漏洞集中在Microsoft、Pulse、Accellion、VMware和Fortinet(详见下文)。”CISA、ACSC、NCSC和FBI评估全球公共和私营组织仍然容易受到这些CVE的影响。只要这些已知漏洞(例如影响MicrosoftOffice的CVE-2017-11882)保持活跃且系统未打补丁,恶意网络参与者就可能继续利用它们进行攻击。攻击者对已知漏洞的使用使归因复杂化,同时也降低了攻击成本和检测风险,因为他们没有投资开发专为他们使用而设计的零日漏洞利用。2020CVEsVS2021CVEsCISA、ACSC、NCSC和FBI确定了以下漏洞是2020年以来最常被恶意网络攻击者利用的漏洞:【2020TopCVEs】根据美国政府的技术分析,在这些漏洞中,CVE-2019-19781是2020年最常被利用的漏洞。CVE-2019-19781是CitrixApplicationDeliveryController(ADC)(一种Web负载平衡应用程序)中最近披露的一个严重漏洞。民族国家和网络罪犯攻击者最有可能喜欢利用此漏洞,因为它很容易被利用,Citrix服务器也很普遍,攻击者可以利用此漏洞在目标系统上执行未经授权的远程代码执行(RCE)。CVE-2019-19781和CVE-2019-11510的未修补实例在2020年初被确定为新兴目标,继续被先进的民族国家持续威胁行为者利用。就CVE-2019-11510漏洞而言,它是PulseConnectSecurevpn中的一个严重漏洞。攻击者可以利用此漏洞窃取受感染Pulsevpn服务器上所有用户的未加密凭据,并创建未经授权的凭据由所有用户保留,并且在系统修补后可以保留未经授权的访问,除非更改所有受损凭据。2021年,网络攻击者继续以面向外部的设备中的漏洞为目标。除了上面列出的2020CVE,组织还应优先修补以下已知被利用的CVE:MicrosoftExchange:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065PulseSecure:CVE-2021-22893、CVE-2021-22894、CVE-2021-22899和CVE-2021-22900攻击:CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104VMware:CVE-2021-21985Fortinet:CVE-2018-13379、CVE-2020-12812和CVE-2019-5591缓解建议缓解许多漏洞的最有效最佳实践之一是在补丁可用后立即更新软件版本。如果这不可能,请考虑应用变通方法或其他缓解措施(如果供应商提供)。如果组织无法在补丁发布后立即更新所有软件,请优先为已知被利用或可被最大数量的潜在攻击者访问的CVE(例如面向Internet的系统)实施补丁。尚未修补这些漏洞的组织应检查妥协迹象(IOC),如果遭到破坏,应立即启动事件响应和恢复计划。将稀缺的网络防御资源集中在修补网络攻击者最常使用的漏洞上,可以加强网络安全,同时阻碍对手的行动。例如,2020年的民族国家APT广泛依赖于AtlassianCrow中发现的单个RCE漏洞(CVE-2019-11580),并且一致关注修补此漏洞可能会通过迫使参与者寻找替代方案来产生相对广泛的影响,而备选方案可能不会对其目标集具有同样广泛的适用性。此外,攻击者经常利用薄弱的身份验证过程,尤其是在面向外部的设备中。组织应该需要多因素身份验证才能从外部来源远程访问网络,尤其是对于管理员或特权帐户。附加资源(1)免费网络安全服务CISA提供各种免费的网络卫生漏洞扫描和Web应用服务,通过采取主动的方法来缓解攻击,帮助美国联邦机构、州和地方政府、关键基础设施和私人组织矢量减少您面临的威胁。(2)Cyber??EssentialsCISA的Cyber??Essentials是小企业领导者和地方政府机构领导者的指南,帮助他们形成可操作的见解,了解从哪里开始实施他们的企业网络安全实践。(3)Cyber??.gov.auACSC的网站提供有关如何保护个人和家庭、中小企业、大型组织和基础设施以及政府组织免受网络威胁的建议和信息。(4)ACSC合作伙伴计划ACSC合作伙伴计划使澳大利亚组织和个人能够与ACSC和其他合作伙伴合作,利用集体见解、经验、技能和能力来提高整个澳大利亚经济的网络弹性。(5)NCSC10StepsNCSC提供10StepstoCyber??Security,为大中型组织如何管理其安全提供详细指导。特别是在漏洞方面,NCSC指导组织建立有效的漏洞管理流程,重点是管理广泛可用的软件和硬件。来源:bleepingcomputer
