对于所有0day、自定义恶意软件和其他完全未知的安全漏洞,这些漏洞已经存在多年并被广泛利用。为了更好地证明这一点,美国联邦调查局(FBI)、美国网络安全和基础设施安全局(CISA)、澳大利亚网络安全中心(ACSC)和英国国家网络安全中心(NCSC)先后发布联合网络安全咨询。在这份报告中,他们列出了2020年和2021年使用的前30个漏洞。尽管软件供应商和开发人员尽了最大努力,但其中许多漏洞已经存在多年。正如MicrosoftPrintSpooler中的“PrintNightmare”漏洞所显示的那样,仅仅因为已知某些东西并不意味着它很容易修复。Accellion在查看此列表时请记住,本文中的每个漏洞在某个时候都被认为是“严重”的,并且它们都被广泛使用。因此,所有这一切的主要收获是,如果您正在使用此处列出的任何产品,请确保立即获得补丁。这里提到的FTA服务器主要是用来传输非常大的文件。该程序自2018年开始更新,至今已更新了20多年。自2021年4月30日起,该程序被视为生命周期结束并由其Kiteworks软件接管。以上四个漏洞都是在同一个包中发布的,每个都是不同的漏洞类型。Qualys是受此漏洞影响的知名组织之一,其DMZ中的FTA服务器遭到破坏。AtlassianConfluenceServer是一个wiki风格的协作环境。通过利用易受攻击的软件版本中的“小部件连接器宏”,恶意用户将能够浏览服务器上的目录、部署模板并实现远程代码执行。此特定漏洞已被用于部署加密货币挖掘软件和勒索软件。Crowd和CrowdDataCenter都是身份管理系统,提供单点登录服务,可以通过一个中央提供商帮助跨多个平台进行身份验证。这些程序的生产版本默认错误地启用了一个名为pdkinstall的开发插件。通过这个漏洞,恶意用户可以安装他们的插件,创建一个远程代码执行场景。Citrix在COVID-19大流行期间,人们迅速转移到远程工作,在许多情况下,这是出乎意料的。这意味着许多组织在未完全配置的状态下部署可能未经测试的远程访问系统。因此,该漏洞是2020年被利用最多的漏洞。卡内基梅隆大学的研究人员能够证明该软件不会限制对名为“虚拟专用网络”的目录中特定脚本部分的访问,该目录可通过目录遍历访问。一旦他们进入这个目录,他们就可以远程执行他们的设计代码。DrupalDrupal被许多人用作网站和维基的内容管理系统(CMS)。该漏洞涉及Drupal请求参数的方式。根据Tenable的说法,恶意用户可以使用它在没有输入清理的情况下将有效负载部署到系统,因为它接受数组中的参数。可以同时利用应用程序和主机操作系统。尽管问题很严重,但仍有许多未打补丁的系统,尽管自2018年年中以来就有补丁可用。可以使用应用程序和主机操作系统。尽管问题很严重,而且自2018年年中以来已对其进行修补,但许多系统仍未修补。F5BIG-IP提供负载平衡、防火墙功能和DNS服务。通过该漏洞,恶意用户将能够访问应用程序的配置功能,以及运行他们选择的代码。但是,与许多其他配置工具一样,只允许从特定IP访问上层控件可以提供快速修复。同时启用永久修复——这对多个供应商来说非常重要。Fortinet出于与上述Citrix报告类似的原因,Fortinet的SSL虚拟专用网络产品在2020年的使用量呈爆炸式增长,使其成为攻击者极具诱惑力的目标。所有这三个问题都围绕着远程访问供应。2018年的漏洞允许恶意用户从FortiOS门户移动到包含系统文件的目录,但不一定会上传他们自己的文件。虽然这听起来不一定像其他一些漏洞一样糟糕,但相信这一发现的研究人员表示,它允许“预先授权的任意文件读取”,或者更具体地说,他们可能已经读取了密码数据库和其他敏感数据。2019年的漏洞可能允许同一本地子网上的用户模拟LDAP身份验证服务器并可能获取敏感数据。共同发现该漏洞的互联网安全与研究小组的JamesRenken重申,如果在多个位置使用被盗凭证,访问可能会迅速传播。2020年的一个漏洞,如果用户更改用户名的大小写,该漏洞可能允许用户绕过双因素身份验证要求。例如,如果恶意用户利用2018漏洞获取证书,他们可以利用该漏洞获得完全访问权限,而无需2FA令牌。Microsoft的Windows操作系统、Office生产力软件、Sharepoint内容管理系统和Exchange电子邮件服务器产品为许多企业提供动力。2017Office漏洞允许恶意用户将文件分发给合法用户,合法用户随后在Office套件程序或独立写字板应用程序中打开该文件。一旦用户打开文件,恶意用户想要的任何代码都将以登录用户的权限运行。这在概念上与2019Sharepoint漏洞非常相似,其中代码可以作为Sharepoint应用程序池和服务器场帐户的凭据运行。后台智能传输服务(BITS)为Windows提供了大量的更新功能。利用此漏洞,已经有权访问系统的恶意用户可以提升他们的权限以控制整个本地计算机。Netlogon允许对属于MicrosoftActiveDirectory域结构的用户和计算机进行身份验证。利用此漏洞可能允许某人冒充域控制器并可能获得域管理员权限。2020Exchange漏洞是由Exchange2019中的Exchange控制面板Web应用程序问题引起的。该问题与加密密钥有关,特别是它不会在安装时生成新密钥。如果恶意用户可以访问默认密钥,他们可能会导致Exchange解密他们的数据。这可以创建一个远程代码执行系统——服务器上的最高权限级别。另一方面,2021Exchange漏洞是攻击链的一部分。根据微软客户安全与信任副总裁TomBurt的博客文章,攻击包括三个步骤:“首先,它伪装成具有访问权限的人,要么通过窃取密码,要么利用以前未发现的漏洞。其次,它创建所谓的网络外壳来远程控制受感染的服务器。最后,它使用远程访问。“MobileIronMobileIron提供了许多处理移动设备管理的服务。Devcore的OrangeTsai再次在MobileIronCore产品中发现了一个漏洞,该漏洞可能允许恶意用户在未经身份验证的情况下执行其代码。ConnectbyPulseSecurePulseSecureSecure是SSL的一种形式我们在此列表中多次看到虚拟专用网络。2019年的一个漏洞可能允许未经身份验证的用户读取通过虚拟专用网络传输的文件,获得对纯文本凭据的访问权限,并在客户端连接到虚拟专用网络时执行命令服务器。2021漏洞可能允许未经身份验证的用户在具有根级别访问权限的虚拟专用网络网关本身上运行他们的代码。Telerik的ASP.NETAJAXUI允许快速创建和部署Web表单。此漏洞在概念上类似于Exchange解密漏洞,如果恶意用户可以通过其他漏洞获取加密密钥ies或其他方式,他们可以在服务器上运行自己的代码。VMWareVMWare允许虚拟机运行在主机操作系统上,vSphere是它们的主要管理界面。第一个漏洞是由于插件上没有输入验证,默认情况下启用。因此,用户可以在主机操作系统上运行他们的代码。第二个漏洞也涉及插件,但不同之处在于它允许用户执行受影响的插件通常可以执行的任何操作,而无需身份验证。文章来源:https://resources.infosecinstitute.com/topic/top-30-most-exploited-software-vulnerabilities-being-used-today/
