CNVD公开数据显示,2022年共披露23900+安全漏洞,其中低危漏洞占比11.13%,中高危漏洞占比约53.82%,高危漏洞占比35.05%。从数据中可以看出,中高危漏洞占比接近89%。这种风险级别的漏洞一旦被潜在的网络犯罪分子利用,将给企??业组织带来毁灭性的打击。不仅漏洞的数量和严重程度与日俱增,存在漏洞的软硬件比例也在逐年上升。Synopsys发布的《2022年软件漏洞快照》报告显示,在对超过2700个网页应用程序、移动应用程序、源代码文件、软件和网络系统进行安全测试后,结果显示95%的应用程序存在某种形式的安全漏洞。中高危漏洞数量占比逐渐增加。主要原因是企业安全预算和重视程度跟不上黑客技术迭代次数和应用设备部署。加之人工智能、大数据、物联网等新技术的应用,多种因素的叠加,造成了目前漏洞数量、修复难度、危害程度、范围的影响力正在逐渐增加。安全人员证实,安全漏洞的数量与应用程序、软件和硬件设备的发布时间呈正相关。Veracode分析表明,32%的应用程序在第一次发布扫描时就存在漏洞,随着时间的推移,漏洞越来越多。本文从漏洞披露时间、危害程度、影响范围等多个维度统计了2022年Top10高危漏洞(排名不分先后)。F5BIG-IPF5BIG-IP访问控制错误漏洞CVE编号:CVE??-2022-1388CVE-2022-1388该漏洞于2022年5月首次披露,存在于F5BIG-IP软硬件中的BIG-IPiControlREST身份suiteValidation组件,主要影响BIG-IP16.x:16.1.0-16.1.2,BIG-IP15.x:15.1.0-15.1.5,BIG-IP14.x:14.1.0-14.1.4,BIG-IP13.x:13.1.0-13.1.4,BIG-IP12.x:12.1.0-12.1.6,BIG-IP11.x:11.6.1-11.6.5等版本。据悉,CVE-2022-1388漏洞允许未经身份验证的攻击者通过BIG-IP管理接口和自身IP地址访问iControlRESTAPI接口,然后执行任意系统命令,创建或删除文件或禁用服务大IP。该漏洞被披露后,研究人员发现了多次利用该漏洞的尝试,目的是擦除设备内容或传递恶意webshell脚本。官方补丁:https://support.f5.com/csp/article/K23605346SpringFramework远程代码执行漏洞CVE编号:CVE??-2022-22965springframework是spring的一个基础开源框架,主要用于javaee企业发展。2022年3月,Spring框架暴露了RCE0day漏洞,编号为CVE-2022-22965。安全研究人员发现,攻击者一旦成功利用该漏洞实现远程代码执行,就可以写入并修改目标主机后门文件的配置,进而访问后门文件获取目标主机的权限并进行攻击整个系统。目前受影响的SpringFramework版本主要是SpringFramework5.3.X<5.3.18和SpringFramework5.2.X<5.2.20。必须认真对待CVE-2022-22965漏洞,有证据表明它已成为网络犯罪分子手中部署加密货币挖掘软件的武器,并在使用臭名昭著的Mirai恶意软件的僵尸网络中使用。官方补丁:https://tanzu.vmware.com/security/cve-2022-22965AtlassianConfluenceServer注入漏洞CVE编号:CVE??-2022-26134AtlassianConfluence是Atlassian出品的专业wiki程序,可以作为知识管理一种支持团队成员之间协作和知识共享的工具。2022年6月3日,Atlassian发布官方公告,披露了AtlassianConfluence中的CVE-2022-26134远程代码执行漏洞。一旦未经身份验证的远程攻击者成功利用该漏洞,它将能够创建新的管理员帐户、执行命令并最终接管服务器。主要受影响的版本:1.3.0<=ConfluenceServerandDataCenter<7.4.17,7.13.0<=ConfluenceServerandDataCenter<7.13.7,7.14.0<=ConfluenceServerandDataCenter<7.14.3,7.15.0<=Confluence服务器和数据中心<7.15.2、7.16.0<=Confluence服务器和数据中心<7.16.4、7.17.0<=Confluence服务器和数据中心<7.17.4、7.18.0<=Confluence服务器和数据中心<7.18.1。官方补丁:https://jira.atlassian.com/browse/CONFSERVER-79016ApacheFineract路径遍历漏洞CVE编号:CVE??-2022-44635ApacheFineract是一款面向金融服务的开源软件,旨在实现金融服务的平台建设。核心银行系统。2022年11月,Apache发布安全公告称ApacheFineract的文件上传组件存在路径遍历漏洞(CVE-2022-44635),未经授权的攻击者可利用该漏洞远程执行代码。影响范围:ApacheFineract<=1.8.0(分支补丁版本1.7.1不受影响)官方补丁:https://lists.apache.org/thread/t8q6fmh3o6yqmy69qtqxppk9yg9wfybgMicrosoftWindowsSupportDiagnosticTool操作系统命令注入漏洞CVE编号:CVE-2022-30190CVE-2022-30190是安全研究人员于2022年5月披露的MicrosoftWindows支持诊断工具(MSDT)中的远程代码执行漏洞,允许远程攻击者在目标系统上执行任意shell命令。该漏洞被公开披露后,安全研究人员观察到多起利用该漏洞的案例。此外,Follina漏洞已被用于植入远程访问工具,例如Qbot和AsyncRAT,并在Windows系统上部署后门。官方补丁:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190谷歌浏览器资源管理错误漏洞CVE编号:CVE??-2022-0609CVE-2022-0609是Chrome中的资源管理错误漏洞,该漏洞源于谷歌浏览器中动画组件中的释放后使用错误。攻击者可以利用此漏洞创建特制网页,诱骗受害者访问该网页,触发释放后使用错误,并在目标系统上执行任意代码。到目前为止,研究人员已经确定了两个利用该漏洞的黑客活动(名为“OperationDreamJob”和“OperationAppleJeus”),攻击媒体、IT、??加密货币和金融技术等行业的多家美国公司。家庭组织。官方补丁:https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.htmlZyxelUSGFLEX操作系统命令注入漏洞CVE编号:CVE??-2022-30525ZyxelUSGFLEX来自中国Zyxel的防火墙可以提供灵活的VPN选项(IPsec、SSL或L2TP),为远程工作和管理提供灵活和安全的远程访问。2022年5月,安全研究人员在USGFLEX操作系统中发现了一个安全漏洞,潜在的攻击者可以利用该漏洞修改特定文件并在易受攻击的设备上执行一些操作系统命令。受影响的版本:ZyxelUSGFLEX从5.00版本到5.21版本。官方补丁:https://www.zyxel.com/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtmlApacheCommonsBCEL缓冲区错误漏洞CVE编号:CVE??-2022-42920ApacheCommonsBCEL是Apache基金会的字节码工程库。它旨在为用户提供一种方便的方法来分析、创建和操作(二进制)Java类。2022年11月,安全研究人员在ApacheCommonsBCEL中发现了缓冲区错误漏洞,该漏洞源于越界写入问题。ApacheCommonsBCEL有许多API通常只允许更改特定的类特征,但由于越界写入问题,这些API可用于生成任意字节码。在将攻击者可控制的数据传递给这些API的应用程序中,这可能会被滥用,从而使攻击者比预期更多地控制生成的字节码。官方补丁:https://lists.apache.org/thread/lfxk7q8qmnh5bt9jm6nmjlv5hsxjhrz4WordPress插件跨站请求伪造漏洞CVE编号:CVE??-2022-0215WordPress是Wordpress基金会使用PHP语言开发的一套博客平台。平台支持在PHP和MySQL服务器上架设个人博客站点,WordPress插件是应用插件之一。2022年1月,安全人员在WordPress插件中发现跨站请求伪造漏洞,追踪为CVE-2022-0215,攻击者可以更新站点任意选项,这些选项可用于创建管理用户帐户并授予访问权限受感染的站点完全特权访问。官方补丁:https://www.wordfence.com/blog/2022/01/84000-wordpress-sites-affected-by-three-plugins-with-the-same-vulnerability/Fastjson代码问题漏洞CVE编号:CVE??-2022-42920Fastjson是一个开源的JSON解析库,可以解析JSON格式的字符串,支持JavaBeans序列化为JSON字符串,以及JSON字符串反序列化为JavaBean。Fastjson作为一个组件被很多java软件集成,广泛存在于java应用的服务器代码中。2022年2月,安全研究人员在Fastjson1.2.83之前的版本中发现了一个安全漏洞。该漏洞源于这样一个事实,即很容易绕过默认的autoType关闭限制来反序列化不受信任的数据。攻击者可以利用该漏洞在目标服务器上实现任意代码执行,造成服务器权限被盗、敏感信息泄露等严重影响。官方补丁:https://github.com/alibaba/fastjson/wiki/security_update_20220523结论随着互联网和新兴技术的快速发展,网络攻击变得越来越快速和复杂。2022年,高危漏洞数量将继续增长。企业安全的演进将难以跟上网络攻击的快速变化。供应链和第三方的风险将不断积累。漏洞优先级排序和漏洞修复将继续增加。随着规模的扩大,MTTR等关键安全运营指标不断恶化,安全风险不断上升。安全漏洞问题十分严重,已引起社会广泛关注。2021年7月,工业和信息化部、国家互联网信息办公室、公安部联合发布了《网络产品安全漏洞管理规定》,在?的基础上,对网络产品的发现、报告、修复和发布进行了规范安全漏洞,并促进企业安全。进一步完善漏洞保障机制。
