青藤云安全：2022漏洞管理指南（19頁）.pdf

《青藤云安全：2022漏洞管理指南（19頁）.pdf》由會員分享，可在線閱讀，更多相關《青藤云安全：2022漏洞管理指南（19頁）.pdf（19頁珍藏版）》請在三個皮匠報告上搜索。

1、 400-189-9287 1/QINGTENG 2022 漏洞管理指南 CONTENTS 執行摘要.2 漏洞簡介.3 什么是漏洞？.3 漏洞、威脅與風險.3 漏洞的類型.4 漏洞管理.4 漏洞管理的必要性.5 漏洞的標準化建模.5 漏洞管理的流程.7 全生命周期的漏洞管理.10 改善漏洞管理的步驟.11 定期進行滲透測試.11 制定漏洞補丁時間計劃表.11 進行細粒度的 IT 資產盤點.12 隨時更新網絡威脅情報.12 加強網絡安全基礎設施的管理.12 比快更快，比準更準的漏洞管理方案.13 總結.15 附錄：2021 年最常被利用的 TOP15 漏洞.16 2021 年最常被利用的 Top

2、15 漏洞.16 漏洞緩解措施.18 400-189-9287 2/QINGTENG 2022 漏洞管理指南 執行摘要執行摘要 如果要說 2021 年的網絡安全形勢對今年有什么啟示，那就是不要用過去的武器對抗今天的戰役。在漏洞管理領域尤為如此。對于很多企業來說，漏洞管理始終是一個讓人頭痛的難題。在過去的一年里，由于漏洞的原因，發生了兩件駭人聽聞的安全事件：2021 年伊始，安全行業遇到了前所未有的 Solar Winds 供應鏈攻擊；2021 年結束時，又發現了更令人震驚的Log4Shell 漏洞，影響到數以億計的設備。除此之外，漏洞的發展還呈現出以下態勢：新增漏洞達到有史以來最高數量。新增漏

3、洞達到有史以來最高數量。2021 年公布的新漏洞有 20175 個，比 2020 年的 18341個有所增長，數量再創新高。這是有史以來報告漏洞最多的一年，也是 2018 年以來漏洞數量同比增長最大的一年。這些新增漏洞和歷史漏洞累計形成了龐大的漏洞庫，讓安全和運維團隊更難對漏洞進行優先級排序和補救。加密加密劫持和勒索軟件導致產生新的惡意軟件。劫持和勒索軟件導致產生新的惡意軟件。過去一年里，惡意軟件行業繼續涌現出各種各樣的惡意軟件，特別是加密劫持和勒索軟件程序，這讓威脅行為者更容易發動攻擊并且很容易獲得快錢。威脅者利用漏洞的速度加快。威脅者利用漏洞的速度加快。有數據顯示，在野漏洞利用的數量增加了

4、 24%，這表明網絡犯罪分子現在利用新漏洞的速度加快，留給安全團隊在真正發生攻擊前檢測并處理漏洞的時間更短了。在漏洞數量快速增長，攻擊者攻擊手段不斷更新的情況下，沒有一個行業是安全的，甚至我們依賴的能源、水和食物等關鍵基礎設施也受到攻擊。根據 Ponemon 研究所與 IBM 發布的2021 數據泄露成本報告顯示，2021 年數據泄露的平均成本是 424 萬美元。為提高漏洞管理效率，本指南詳細闡釋了漏洞的概念，介紹了漏洞的標準化建模與全生命周期的漏洞管理，并列出了 2021 年最常被利用的 TOP15 漏洞，以期幫助更多用戶更好地處理漏洞問題，減少因漏洞而引發的攻擊。400-189-9287

5、3/QINGTENG 2022 漏洞管理指南 漏洞簡介漏洞簡介 網絡犯罪分子可以利用漏洞來實現任何特定目的，因此，組織機構需要識別漏洞，并定期了解漏洞的最新更新情況和預防流程，以提高系統操作的安全性。解決和管理在逐年攀升的漏洞，需要按照嚴格的要求進行漏洞檢測和補救。一些重大漏洞是硬件、程序、網絡和軟件的漏洞。什么是漏洞？什么是漏洞？原則上，漏洞是指系統或網絡中的一個脆弱點，其可能會被網絡犯罪分子利用，以獲得未經授權的訪問，從而造成破壞。漏洞利用之后會發生什么呢，誰也說不準安裝惡意軟件、竊取敏感數據、利用惡意代碼造成損害等等。以下是有關漏洞的幾個官方定義：NIST：系統、系統安全程序、內部控制或

6、實施中存在的脆弱點，其可能會被威脅行為者利用或觸發。ISO 27005：資產中存在的、可被威脅行為者利用的脆弱點，其中資產是指對組織機構、其業務運營及其連續性有價值的任何東西，包括支持組織使命的信息資源。IETF RFC 4949：系統設計、實施或操作和管理中存在的缺陷或脆弱點，其可能會被利用，違反系統的安全策略。漏洞、威脅與風險漏洞、威脅與風險 在了解了漏洞的定義之后，我們來看一下漏洞與威脅、風險的異同。漏洞漏洞 vs 威脅威脅 漏洞是會破壞組織機構 IT 安全體系的差距或脆弱點，而威脅則是組織機構所面臨的風險，包括植入危險的可執行文件、惡意軟件攻擊、勒索軟件攻擊等等。威脅潛伏在當今的網絡威

7、脅環境中，尋找環境中可以利用的漏洞。沒有相同的兩種威脅，總會有一些威脅比其他威脅更有可能實現漏洞利用。漏洞漏洞 vs 風險風險 風險是指對組織機構的網絡安全和漏洞的潛在威脅的徹底評估。它不只是考慮漏洞被利用的概率，也考慮事件對組織機構的潛在商業影響。400-189-9287 4/QINGTENG 2022 漏洞管理指南 漏洞的類型漏洞的類型 漏洞有多種類型和形式。常見的漏洞類型包括以下幾種。軟硬件漏洞軟硬件漏洞 硬件漏洞是指設備或系統中的缺陷或脆弱點，能夠讓攻擊者遠程或現場利用系統。常見的硬件漏洞包括設備未加密、未對存儲設備加以保護、以及系統或設備版本老舊。軟件漏洞是指軟件中的缺陷或瑕疵，攻擊

8、者可以基于此遠程控制系統。這些缺陷有時與軟件編碼或設計有關。例如，某些軟件漏洞是缺乏輸入驗證、跨網站腳本、數據未加密造成的等。網絡漏洞網絡漏洞 網絡漏洞會導致軟硬件問題暴露給惡意軟件或配置欠妥當的防火墻。常見的網絡漏洞包括錯誤配置的防火墻、社工攻擊和無保護的網絡通信。此外，一個簡單的網絡系統中存在著許多應用程序和操作系統，從而讓攻擊者通過利用其中的缺陷或漏洞進入整個網絡。程序性程序性/操作性漏洞操作性漏洞 如果組織機構的安全程序存在漏洞，也會讓組織機構受到攻擊。為了提高安全性，組織機構需要遵守標準的密碼策略。組織機構需要適當地維護各種操作程序，以避免被利用。組織機構的網絡安全系統需要按照最佳實

9、踐來以防止攻擊者不定期的網絡攻擊。組織機構進行良好的培訓和知識共享有助于避免惡意軟件攻擊，并減少漏洞利用。操作系操作系統漏洞統漏洞 操作系統漏洞是指應用軟件或操作系統內的缺陷。這些漏洞是操作系統內的操作邏輯或代碼中的錯誤，攻擊者會利用這些漏洞來獲得訪問權限并造成破壞。惡意軟件、網絡入侵、緩沖區溢出和虛擬化是攻擊者利用操作系統漏洞時的常用攻擊向量。但盡管如此，也很難開發一個完全沒有漏洞的軟件。漏洞管理漏洞管理 漏洞管理是用于識別、評估、管理整個組織機構的系統和軟件漏洞并針對漏洞采取補救措施 400-189-9287 5/QINGTENG 2022 漏洞管理指南 的系統性和戰略性流程。漏洞管理會監

10、測風險并保持組織機構的當前安全狀態。因此，組織機構必須通過漏洞管理來維護系統安全并減少威脅。漏洞管理的必要性漏洞管理的必要性 漏洞是網絡犯罪分子可以使用或利用的薄弱環節或關鍵領域。隨著漏洞數量的不斷增加，確保網絡安全迫在眉睫。漏洞管理是識別和評估 IT 系統風險的過程，旨在清除漏洞或采取措施進行補救。漏洞管理的主要目標是掃描、調查、分析和報告風險或安全漏洞的細節，并提供緩解方法和策略。漏洞管理是解決和補救安全漏洞以避免網絡攻擊或漏洞利用的持續過程。漏洞管理有助于識別和消除薄弱環節，確保網絡免受潛在攻擊、編碼錯誤或缺陷的影響。漏洞管理是確保網絡安全的基本方法，有助于提高系統的安全性。漏洞掃描在漏

11、洞管理過程中起著重要作用。漏洞掃描是檢測、評估和評價系統和軟件漏洞的過程。檢測漏洞或脆弱點有助于避免攻擊者造成進一步的損害。NIST 建議每季度進行一次漏洞掃描。對于依賴網絡滿足日常運營需求或擁有大規模敏感數據的組織，也建議每月或更多地進行漏洞掃描。網絡安全和計算機安全是漏洞管理的基本組成部分。它控制著與信息有關的安全風險，并專注于復雜的網絡犯罪情況。通過對 IT 環境中所涉及的風險進行漏洞處理，可以確保持續了解漏洞情況。為實現有效的網絡安全效果，可以采用各種掃描和檢測工具。采用工具進行漏掃比人工安全系統效果更好。雖然工具采購需要投資，但這在組織機構可負擔的起的范圍內。而且，與泄露敏感數據損失

12、數十億元相比，采用工具更劃算。漏洞的標準化建模漏洞的標準化建模 當下，漏洞分類標準和漏洞模型都有一定成熟度，有不少標準化模型，包括 CWE、CVE、CVSS、CPE、CAN、CAPEC、CKC 等。在漏洞管理中，它們在不同階段發揮著不同作用，這是安全人員需要提前了解的。400-189-9287 6/QINGTENG 2022 漏洞管理指南 圖圖 1：標準化漏洞模型標準化漏洞模型 CWE（CommonWeaknessEnumeration）：是開發的常見軟件和硬件安全弱點列表?；旧峡梢哉J為CWE是所有漏洞的原理基礎性總結分析，CVE中相當數量的漏洞的成因在CWE中都可以找到相應的條目。如在代碼

13、層、應用層等多個方面的缺陷，從 CWE 角度看，正是由于 CWE 的一個或多個缺陷，從而形成了 CVE 的漏洞。CVE（Common Vulnerabilities&Exposures）：公開的漏洞都擁有唯一標識，漏洞編號就好比是出版物的 ISBN 號。目前最常見的漏洞編號，是引用 MITRE 組織推出的 CVE 編號系統，編號由（CVE Numbering Authorities）CNAs 分配。漏洞信息通常包括簡要描述、告警、緩解措施和報告。CVE 就好像是一個字典表，為廣泛認同的信息安全漏洞或者已經暴露出來的弱點給出一個公共的名稱。但并不是有公開披露的漏洞都有一個相關的 CVE-ID。保

14、密的和未公開披露的漏洞通常被稱為零日漏洞。CVSS（Common Vulnerability Scoring System）：CVSS 建立于 1990 年，目前由 FIRST 負責運營。它通常是基于對每個漏洞特征進行定量計算一個大致的評分（0-10 分），然后輸出一個定性值（低、中或高）。當前的 CVSS 最新版本是 2019 年 6 月發布實施 v3.1。CPE（Common Platform Enumeration）：通用平臺枚舉項，為 IT 產品和平臺提供了統一的名稱，原來屬于 MITRE 運營，2014 年交由 NIST，作為 NVD 基礎資源的一部分。它是對 IT產品的統一命名規范

15、，包括系統、平臺和軟件包等，CPE 在信息安全風險評估中對應資產識別。CAPEC(Common Attack Pattern Enumeration and Classification）：是攻擊模式枚舉分類，是美國國土安全部建立于 2007 年，現在主要是由 MITRE 在運營，提供了公開的可用攻擊模式，在信息安全風險評估中應對威脅。400-189-9287 7/QINGTENG 2022 漏洞管理指南 OVAL（Open Vulnerability and Assessment Language）：用于表達系統安全狀態，是可以用于檢測的技術細節指導，包括獲取系統配置信息、分析狀態、輸出報告

16、三個步驟。OVAL建立于 2010 年，2016 年從 MITRE 轉交給 CIS 組織。CKC（cyber-attacks and the Cyber Kill Chain）：CKC 的全面理解是建立在對漏洞生命周期的認識，包括漏洞出現和利用。CKC 還通過分配特定事件的攻擊行為來提供威脅情報，并使用模型描述來理解這些行為。這種知識有助于目標系統的操作員確定一個成功的防御策略和解決某些網絡攻擊問題。漏洞管理的流程漏洞管理的流程 漏洞管理流程一般情況下分為五個步驟：識別、評估、排序、補救、以及報告。圖圖 2：漏洞管理的五個步驟：漏洞管理的五個步驟 識別識別 漏洞識別是我們通常所說的漏洞掃描，也

17、是漏洞管理的第一步。根據現有資產情況，需要進行漏洞掃描的資產通常包括筆記本、PC、服務器、數據庫、防火墻、交換機、路由器、打印機等。漏洞掃描需要對所有這些資產進行掃描，以發現已知漏洞。400-189-9287 8/QINGTENG 2022 漏洞管理指南 評估評估 漏洞評估是在漏洞識別的基礎上進行漏洞嚴重性的評估，這一步非常重要會影響到后面的補救步驟。比較常見的漏洞評估是使用通用漏洞評分系統（CVSS）評分法。CVSS 是一個標準的漏洞管理解決方案，用于對漏洞進行風險評級和打分。根據 CVSS 的分數，可以將漏洞分為危急、高危、中危和低危。使用不同工具有助于評估整個系統的不同漏洞。例如，Web

18、應用掃描器可以掃描已知的攻擊模式，協議掃描器可以檢查啟用的 IP 級協議，端口掃描器可以發現開放的端口。排序排序 由于漏洞越來越多，組織機構很難，有時甚至不可能解決所有漏洞。根據風險系數或威脅對漏洞進行優先級排序，可以更好地補救漏洞。在漏掃報告中確定優先級指標和評級，以便在后續的補救階段進行深入分析。漏洞識別原理漏洞識別原理 漏洞識別一般是通過漏洞掃描器實現的，識別漏洞的形式無外乎有四種：非認證式掃描、認證式掃描、API 掃描、被動流量掃描，前兩種是最普遍的方式。非認證方式掃描，也稱為網絡掃描方式（Network Scanning），基本原理就是發送 Request 包，根據Response

19、包的 banner 或者回復的報文來判斷是否有漏洞，這種分析 Response 包內容的主要邏輯是版本比對或者根據 PoC 驗證漏洞的一些詳情來判斷。認證式掃描也稱為主機掃描方式（Agent Based Scanning），這種方式可以彌補網絡方式的很多誤報或者漏報的情況，掃描結果更準，但是會要求開發登錄接口，需要在主機進行掃描。以Nessus 舉例，基本流程是下發一個腳本執行引擎和 NASL 腳本進行執行，在主機保存相關數據，然后上報服務端，最后清理工作現場。API 掃描與應用掃描方式類似，這里不做深入分析。被動式流量掃描比主動式的流量掃描從帶寬 IO 上沒有任何影響，但是需要對所有請求和返

20、回包進行分析，效果來說最差，因為某些應用如果沒有請求過就無法被動地獲取相關流量數據進行分析。400-189-9287 9/QINGTENG 2022 漏洞管理指南 補救補救 這一步是針對發現的漏洞進行補救和處理。在這個過程中，正確的補救方法和具體的處理策略是至關重要。漏洞補救不是簡單的打補丁，而是一個系統化的流程。漏洞補救過程通常包括以下幾個步驟：獲取廠商的補??；分析補丁的依賴和系統的兼容性以及補丁的影響；建立回滾計劃，防止補丁對業務造成未知影響；在測試環境測試補丁修復情況；在部分生產環境測試補丁修復情況；進行灰度上線補丁計劃，乃至全量補丁修復；分析補丁修復后的系統穩定并監控；進行驗證補丁是否

21、修復成功，漏洞是否依然存在。對于很多無法直接根除漏洞進行補丁修復的情況，比如 0Day，不在支持范圍的系統或者軟件，業務需求無法中斷，補丁速度滯后等情況，我們要采取降低漏洞影響的操作，如下圖所示：圖圖 3：漏洞緩解措施：漏洞緩解措施 400-189-9287 10/QINGTENG 2022 漏洞管理指南 通常，可以通過網絡、終端、應用和數據等幾個方面來采取漏洞緩解措施，具體的緩解措施包括：隔離系統網絡，包括防火墻規則和網絡區域劃分；網絡訪問控制；NIPS、WAF、SW、DAP、RASP 等軟件或者設備簽名規則更新；HIPS 終端類安全產品進行阻斷；EPP 類安全產品類似白名單機制、系統加固等

22、；阻斷有漏洞軟件的網絡連接；主機防火墻進行端口阻斷。報告報告 這一步至關重要，會傳達有關資產清點、安全漏洞和整體風險的關鍵發現。報告中還會介紹最相關的漏洞及其補救方法的詳細信息。漏洞報告的重要組成部分包括執行摘要、評估概述和漏洞詳情。全生命周期的漏洞管理全生命周期的漏洞管理 當今的漏洞管理生命周期理論是由 Arbaugh 等人在 2000 年左右定義的概念。通過漏洞生命周期映射，可定義過渡邊界的事件。由于漏洞會觸發相關的漏洞利用事件，風險程度也在提高，有了補丁可用之后，風險程度則會降低。圖圖:4：漏洞生命周期：漏洞生命周期 漏洞產生階段（漏洞產生階段（Creation）：）：漏洞尚未被發現或者

23、利用,因此,該階段安全漏洞無風險。400-189-928711/QINGTENG 2022 漏洞管理指南 漏洞發現階段（漏洞發現階段（Discovery）：）：當漏洞剛被發現時,對漏洞的挖掘和利用處于探索階段,并且掌握漏洞信息的人員數量少,因此,該階段漏洞風險較低。漏洞公開階段（漏洞公開階段（Disclosure）：）：由于漏洞處于公開但未提供補丁的狀態,越來越多的潛在攻擊者開始關注此安全漏洞。攻擊方式也會發生改變,例如攻擊由簡單的代碼供給轉變為自動攻擊工具,使低技能攻擊者開始嘗試漏洞利用,隨時間推移，漏洞風險持續升高。漏洞評估階段（漏洞評估階段（Assess）：）：隨著攻擊腳本的傳播,更多的

24、攻擊者掌握了漏洞的利用方法,從整體上看,漏洞風險不斷增長，達到高峰期。漏洞修復階段（漏洞修復階段（Patched）：）：隨著補丁釋放,安裝用戶增多,安全風險不斷降低。由于不同漏洞的復雜度差別較大，對于未能提供補丁的漏洞，相關組織機構也會采取一些手段切斷黑客漏洞利用的攻擊鏈路。改善漏洞管理的步驟改善漏洞管理的步驟 在網絡安全領域的長期實戰中，我們總結出了以下步驟來改善漏洞管理。定期進行滲透測試 制定漏洞補丁時間計劃表 進行細粒度的 IT 資產盤點 隨時更新網絡威脅情報 加強網絡安全基礎設施的管理定期進行滲透測試定期進行滲透測試 網絡安全應優先考慮針對外部攻擊的網絡安全，主要是穿透網絡。滲透測試在

25、網絡安全威脅管理是公認有效的手段。它通過檢測和修復漏洞，確保企業的網絡安全。通過滲透測試定期進行漏洞管理可以讓組織機構詳細地了解安全漏洞并采取相應的控制措施。有關滲透測試的詳細信息，請參見青藤官網“資源下載中”的滲透測試提供商選型指南。制定漏洞補丁時間計劃表制定漏洞補丁時間計劃表 組織機構需要定期進行軟件更新，因為供應商的軟件始終在不斷迭代和改進。進行軟件更新 400-189-9287 12/QINGTENG 2022 漏洞管理指南 后，可以對抵御攻擊者起到最佳作用。但在進行更新前，需要對更新版本進行測試，以免更新后出現問題。進行細粒度的進行細粒度的 IT 資產資產盤點盤點 在對軟件進行漏洞研

26、究的同時，硬件也需要關注，不應該被遺忘。老舊的或被遺忘的硬件或程序很容易成為攻擊者的目標。這類資產會成為企業的嚴重漏洞，因此，組織機構需要定期跟蹤或清點軟硬件資產。隨時更新網絡威脅情報隨時更新網絡威脅情報 隨著網絡威脅數量不斷增長，組織機構掌握的威脅信息總是很少，因此，組織機構需要不斷了解并識別最新威脅和漏洞。關注和跟蹤潛在漏洞有助于組織機構改善網絡安全狀況，避免最新的威脅。加強網絡安全基礎設施的管理加強網絡安全基礎設施的管理 組織機構需要保持良好的網絡安全實踐，以改善基礎設施的安全性。員工和工作人員應正確理解良好的網絡安全實踐，并按此行事。任何疏忽或不良實踐都可能導致發生漏洞利用。因此，定期

27、更新和適當的員工培訓，有助于實現良好的網絡安全實踐。青藤萬相資產清點青藤萬相資產清點 青藤萬相可以通過設置檢查規則，自動檢查已安裝探針主機，以及所在網絡空間未納入安全管理的主機，包括老舊的或被遺忘的服務器。此外，青藤萬相的資產清點功能可根據用戶需要，自定義時間周期，自動化構建細粒度資產信息，可對主機資產、應用資產、Web 資產等進行全面清點，保證用戶可實時掌握所有主機資產情況，包括Web、系統、進程、端口、賬號、軟件應用等。400-189-9287 13/QINGTENG 2022 漏洞管理指南 比快更快，比準更準的漏洞管理方案比快更快，比準更準的漏洞管理方案 青藤萬相風險發現功能致力于幫助用

28、戶精準發現內部風險，幫助安全團隊快速定位問題并有效解決安全風險。通過風險發現，青藤萬相能提供詳細的資產信息、風險信息以供分析和響應，從而為客戶提供以下三大核心價值：1.準確的風險識別，白盒視角的風險發現比黑盒更準確。準確的風險識別，白盒視角的風險發現比黑盒更準確?；?Agent 的漏洞掃描，在準確性上擁有天然優勢。傳統漏掃產品對資產覆蓋的深度和廣度不足，導致檢測準確率不高。2.極大提升掃描效率，在復雜環境下依然能達到極高的效率。極大提升掃描效率，在復雜環境下依然能達到極高的效率。傳統漏掃產品效率低，而基于 Agent 方式可快速完成全部掃描。因此，一旦出現新的漏洞可在在很短時間內完成檢測工作

29、。3.自動關聯資產數據，定位相關負責人以及屬于何種業務。自動關聯資產數據，定位相關負責人以及屬于何種業務。在查到某機器上存在某個漏洞之后，可迅速知道誰負責這臺機器。典型應用場景一：新高危漏洞的快速應急檢測典型應用場景一：新高危漏洞的快速應急檢測 通過風險發現功能，可以快速進行響應，絕大部分漏洞都可通過資產識別直接定位，對于無法識別的漏洞可以通過編寫檢測腳本將其配置到檢測系統中即可。例如，攻方團隊利用了Weblogic 反序列化漏洞、JBOSS 遠程代碼執行漏洞、Apache Axis 遠程命令執行漏洞等多個0Day 漏洞進行攻擊。400-189-9287 14/QINGTENG 2022 漏洞

30、管理指南 典型應用場景二：高危漏洞的補丁識別和關聯典型應用場景二：高危漏洞的補丁識別和關聯 當一個漏洞被精準定位后，風險發現功能能夠關聯分析這個漏洞相關的補丁。例如，風險發現通過 CVE 編號確認所有資產中有 13 臺機器上存在 Shellshock 漏洞。青藤萬相不僅提供詳細補丁情況，還能夠檢測補丁修復后是否會影響其它業務。青藤通過識別應用，加載 SO 和進程本身確認是否被其它業務組件調用，來判斷補丁修復是否會影響其它業務。因此，在高危漏洞爆發后，青藤萬相能快速幫助客戶進行補丁識別和關聯，并確認打補丁后是否存在風險等。400-189-9287 15/QINGTENG 2022 漏洞管理指南

31、總結總結 由于漏洞自身性質決定了漏洞庫更新永遠不會有完結的一天，抓取的漏洞特征信息當然也不可能永遠保持正確，因此，只能說漏洞樣本在一定程度上幫助組織機構更好地防御風險。當然，若組織機構只依賴一個漏洞庫來源，不管它有多權威，都可能會錯過影響其系統的重要漏洞信息。此外，CVSS 評分系統雖然能夠提供一個相對參考評估，幫助了解和對比漏洞，以及漏洞嚴重程度，但這可能與現實情況有偏差，不同行業、不同企業 IT 設施都各不相同，因此面對同一個漏洞，影響面和危害面也會不一樣。對此，企業應該按照漏洞管理最佳實踐，逐步優化漏洞管理，提高漏洞管理效率。400-189-9287 16/QINGTENG 2022 漏

32、洞管理指南 附錄：附錄：2021 年最常被利用的年最常被利用的 TOP15 漏洞漏洞 在全球范圍內來看，2021 年，攻擊者利用新披露的漏洞對面向互聯網的系統發起攻擊，如電子郵件服務器和 VPN 服務器。對于大多數被利用的漏洞，研究人員或其他人員在漏洞披露后的兩周內發布了 POC 代碼，這也為更多的攻擊者利用漏洞提供了便利。在較小的程度上來說，攻擊者依然會利用公開的、過時的軟件漏洞，其中包括一些 2020 年常被利用的漏洞。對原有漏洞的利用表明，若組織機構未能及時修補軟件或使用不再受供應商支持的軟件，他們仍會面臨風險。2021 年最常被利用的年最常被利用的 Top15 漏洞漏洞 表 1 展示了

33、 2021 年攻擊者最常利用的 Top15 漏洞，其中包括：CVE-2021-44228。該漏洞也稱為 Log4Shell，會影響 Apache log4j 開源日志記錄框架。攻擊者可以通過向易受攻擊的系統提交特制請求來利用此漏洞，從而導致該系統執行任意代碼。這種特制請求可以讓攻擊者完全控制系統。然后，攻擊者可以竊取信息、啟動勒索軟件或進行其他惡意活動。在全球范圍內，有數千種產品采用了 Log4j。該漏洞于 2021 年12 月披露，隨后迅速被廣泛利用，這表明攻擊者有能力快速將已知漏洞武器化，在組織機構打補丁之前發起攻擊。CVE-2021-26855、CVE-2021-26858、CVE-20

34、21-26857、CVE-2021-27065。這些漏洞（稱為ProxyLogon）會影響 Microsoft Exchange 電子郵件服務器。組合利用這些漏洞（即“漏洞利用鏈”）可以讓未經身份驗證的網絡攻擊者在易受攻擊的 Exchange 服務器上執行任意代碼，這反過來又使攻擊者能夠持久訪問服務器上的文件和郵箱，以及存儲在服務器上的憑據。通過漏洞利用，網絡攻擊者能夠泄露在易受攻擊的網絡中的信任和身份信息。CVE-2021-34523、CVE-2021-34473、CVE-2021-31207。這些漏洞（稱為 ProxyShell）也會影響 Microsoft Exchange 電子郵件服務

35、器。組合利用這些漏洞可以讓遠程攻擊者能夠執行任意代碼。這些漏洞位于 Microsoft 客戶端訪問服務(CAS)中，該服務通常在 Micosoft lnternet信息服務(IIS)（例如 Microsot 的 Web 服務器）的端口 443 上運行。CAS 通常暴露在互聯網上，以便用戶能夠通過移動設備和 Web 瀏覽器訪問他們的電子郵件。CVE-2021-26084。該漏洞會影響 Atlassian Confluence Server 和 Data Center，讓未經身份驗證的攻擊者能夠在易受攻擊的系統上執行任意代碼。在其 POC 披露后的一周內，該漏洞迅速成為最常被利用的漏洞之一。202

36、1 年 9 月觀察到有攻擊者嘗試大規模利用該漏洞的 400-189-9287 17/QINGTENG 2022 漏洞管理指南 情況。在 2021 年最常被利用的 Top 15 漏洞中，有三個漏洞是 2020 年常被利用的漏洞：CVE-2020-1472、CV-2018-13379 和 CVE-2019-11510。這些漏洞連續兩年位于最常被利用漏洞之列表明，許多組織機構未能及時修補軟件，因而非常容易受到惡意網絡攻擊者的攻擊。CVE 漏洞名稱漏洞名稱 廠商及產品廠商及產品 類型類型 CVE-2021-44228 Log4Shell Apache Log4j 遠程代碼執行(RCE)CVE-2021

37、-40539 Zoho ManageEngine AD SelfService Plus RCE CVE-2021-34523 ProxyShell Microsoft Exchange Server 權限提升 CVE-2021-34473 ProxyShell Microsoft Exchange Server RCE CVE-2021-31207 ProxyShell Microsoft Exchange Server 防御繞過 CVE-2021-27065 ProxyLogon Microsoft Exchange Server RCE CVE-2021-26858 ProxyLogon

38、 Microsoft Exchange Server RCE CVE-2021-26857 ProxyLogon Microsoft Exchange Server RCE CVE-2021-26855 ProxyLogon Microsoft Exchange Server RCE CVE-2021-26084 Atlassian Confluence Server and Data Center 任意代碼執行 CVE-2021-21972 VMware vSphere Client RCE CVE-2020-1472 ZeroLogon Microsoft Netlogon Remote

39、Protocol(MS-NRPC)權限提升 CVE-2020-0688 Microsoft Exchange Server RCE CVE-2019-11510 Pulse Secure Pulse Connect Secure 讀取任意文件 CVE-2018-13379 Fortinet FortiOS and FortiProxy 路徑遍歷 表表 1：2021 年常被利用的年常被利用的 Top15 漏洞漏洞 除了表 1 所列的 15 個漏洞外，2021 年，表 2 所列的漏洞也經常被惡意攻擊者利用，其中包括影響面向互聯網的系統的多個漏洞，例如 Accellion 文件傳輸設備（FTA）、W

40、indows Print Spooler 和 Pulse Secure Pulse Connect Secure。在這些漏洞中，有 3 個漏洞在 2020 年也經常被攻擊者利用：CVE-2019-1978、CVE-2019-18935 和 CVE-2017-11882。CVE 廠商及產品廠商及產品 類型類型 CVE-2021-42237 Sitecore XP RCE CVE-2021-35464 ForgeRock OpenAM server RCE CVE-2021-27104 Accellion FTA OS 命令執行 CVE-2021-27103 Accellion FTA 服務器端請

41、求偽造 CVE-2021-27102 Accellion FTA OS 命令執行 400-189-9287 18/QINGTENG 2022 漏洞管理指南 CVE-2021-27101 Accellion FTA SQL 注入 CVE-2021-21985 VMware vCenter Server RCE CVE-2021-20038 SonicWall Secure Mobile Access(SMA)RCE CVE-2021-40444 Microsoft MSHTML RCE CVE-2021-34527 Microsoft Windows Print Spooler RCE CVE-

42、2021-3156 Sudo 權限提升 CVE-2021-27852 Checkbox Survey 遠程代碼執行 CVE-2021-22893 Pulse Secure Pulse Connect Secure 遠程代碼執行 CVE-2021-20016 SonicWall SSLVPN SMA100 SQL 命令轉義不當，導致憑據訪問 CVE-2021-1675 Windows Print Spooler RCE CVE-2020-2509 QNAP QTS and QuTS hero 遠程代碼執行 CVE-2019-19781 Citrix Application Delivery Co

43、ntroller(ADC)and Gateway 任意代碼執行 CVE-2019-18935 Progress Telerik UI for ASP.NET AJAX 命令執行 CVE-2018-0171 Cisco IOS Software and IOS XE Software 遠程代碼執行 CVE-2017-11882 Microsoft Office RCE CVE-2017-0199 Microsoft Office RCE 表表 2：2021 年其他常被利用年其他常被利用的漏洞的漏洞 漏洞漏洞緩解措施緩解措施 針對這些漏洞，常見的緩解措施如下所示。漏洞與配置管理漏洞與配置管理 及時

44、更新 IT 網絡資產上的軟件、操作系統、應用程序和固件。優先修補已知被利用的漏洞，特別是權威機構確定的 CVE，然后是一些允許在面向互聯網的設備上進行遠程代碼執行或拒絕服務的關鍵和高危漏洞。如果不能快速給已知被利用的漏洞或關鍵漏洞打補丁，可以采用供應商提供的臨時緩解措施。使用一個集中的補丁管理系統。替換過期的軟件，即供應商不再提供支持的軟件。例如，Accellion FTA 已于 2021 年 4月停止維護。如果組織機構無法對面向互聯網的系統進行快速掃描和打補丁，則應考慮將這些服務轉移給成熟的、有信譽的云服務提供商（CSP）或其他托管服務提供商（MSP）。聲譽良好的 MSP 可以為客戶的應用程序打補丁，如網絡郵件、文件存儲、文件共享以及聊天