1、 摘 要 摘 要 2022 年上半年,網絡安全漏洞形勢依舊嚴峻,高危漏洞數量不斷增長,漏洞利用漸趨隱蔽,融合疊加風險攀升,在野漏洞利用成為重大網絡安全熱點事件的風險點以及國家級 APT 活動的新手段。美歐國家從漏洞發現收集、修復消控、協同披露、出口管制等層面加大管控力度。2022 上半年網絡安全漏洞態勢觀察 報告圍繞漏洞數量變化趨勢、漏洞危害、漏洞利用、漏洞管控等內容,把握總體形勢,分析關鍵漏洞現實威脅,并在漏洞管控與綜合治理、感知與預警、供應鏈安全與開源治理等方面提出對策建議。報告主要觀點如下:1、在漏洞數量方面,漏洞增長創新高,網絡安全威脅持續加劇。1、在漏洞數量方面,漏洞增長創新高,網絡
2、安全威脅持續加劇。漏洞總量環比增長達到 12%;危害程度較大漏洞仍然是熱點,超高危漏洞占比超過 50%;微軟、谷歌等美企大廠產品漏洞多發,持續成為安全研究焦點;開源軟件漏洞頻發,軟件供應鏈安全風險凸顯。2、在漏洞利用方面,漏洞在野利用形勢嚴峻,漏洞實戰化趨勢明顯。2、在漏洞利用方面,漏洞在野利用形勢嚴峻,漏洞實戰化趨勢明顯。漏洞 POC/Exploit 公開廣泛傳播,為漏洞實戰化提供便利;在野漏洞利用不斷增多,APT 組織漏洞利用異?;钴S;在野利用漏洞私有化、漏洞工具囤積嚴重。3、在漏洞現實威脅方面,高價值漏洞“寄生”于多類目標,現實危害嚴重,影響持久。3、在漏洞現實威脅方面,高價值漏洞“寄生
3、”于多類目標,現實危害嚴重,影響持久。邊界設備、操作系統、服務器軟件、開源組件、協同辦公軟件、云原生、移動終端等目標對象漏洞在攻擊活動中頻繁現身;攻擊者通過漏洞攻破網絡“大門”、橫向移動傳播、獲取控制權、破壞或竊取數據形成完整網絡攻擊組合拳;漏洞修復不完善引發“次生災害”,歷史漏洞重復利用或修復后再被突破,對漏洞治理提出更高要求。4、在管控政策方面,漏洞披露與保留博弈深化。4、在管控政策方面,漏洞披露與保留博弈深化。美歐根據形勢不斷制定或修訂政策法規,加強漏洞資源管控;漏洞披露、共享在國家、企業間的“圈子化”趨勢明顯,漏洞戰略地位凸顯。5、在對策建議方面,多措并舉加強漏洞安全防范與保障成為當務
4、之急。5、在對策建議方面,多措并舉加強漏洞安全防范與保障成為當務之急。一是進一步強化國家級網絡安全漏洞綜合治理能力,加強漏洞管控統籌協調,提升漏洞資源共享共治水平。二是建設國家級漏洞感知與預警機制,提升漏洞發現與處置能力。三是積極推進 ICT 供應鏈安全治理,完善符合我國情的開源生態。致致 謝謝 感謝以下人員為本報告編制付出的辛勤勞動。指導專家(按姓氏筆畫排序,排名不分先后)朱錢杭(啟明星辰 Adlab)張 超(清華大學)張云海(綠盟科技天機實驗室)汪列軍(奇安信威脅情報中心)鄭文彬(北京賽博昆侖科技有限公司)龔 廣(360 漏洞研究院)隋 剛(知道創宇 404 實驗室)參編單位 中國信息產業
5、商會信息安全產業分會 奇安信 威脅情報中心 360 漏洞研究院 北京知道創宇信息技術股份有限公司 版權聲明 本報告版權屬于中國信息安全測評中心、中國信息產業商會信息安全產業分會,并受法律保護。轉載、摘編或利用其它方式使用本報告中的文字、圖片或觀點的,應注明來源,違者將被追究法律責任。I 目 錄 一、聚米為山一、聚米為山從統計數據看漏洞態勢從統計數據看漏洞態勢 .1 1(一)超高危漏洞數量持續攀升,利用難度低危害大的漏洞仍是熱點.1(二)美企大廠產品漏洞多發,持續成為安全研究焦點.2(三)供應鏈安全風險凸顯,開源軟件漏洞“風頭正勁”.3(四)漏洞 POC/Exploit 信息增加,漏洞利用實戰化
6、態勢明顯.5(五)在野漏洞利用不斷增多,APT 組織囤積漏洞工具蓄勢待發.5 二、見微知著二、見微知著從“明星”漏洞看現實威脅從“明星”漏洞看現實威脅 .9 9(一)操作系統及服務端漏洞助攻擊者獲得較高控制權限.9(二)開源組件及軟件漏洞波及范圍廣.11(三)協同辦公軟件漏洞危及企業運行.12(四)云原生及虛擬化漏洞影響云基礎設施安全.14(五)邊界設備漏洞使網絡“大門失守”.16(六)移動終端漏洞威脅個人隱私及數據安全.17 三、落葉知秋三、落葉知秋從漏洞態勢看威脅變革從漏洞態勢看威脅變革 .1919(一)漏洞作為戰略資源的地位愈發凸顯.19(二)各類目標高價值漏洞層出不窮.21(三)漏洞利
7、用實戰化需高度警惕.23(四)攻防對抗加劇對漏洞修復提出更高要求.25 四、漏洞防范及安四、漏洞防范及安全保障對策建議全保障對策建議 .2727(一)打造國家級網絡安全漏洞綜合運籌能力,加強漏洞管控統籌協調,提升漏洞資源共享共治水平.27(二)建設國家級漏洞感知與預警機制,提升漏洞發現與處置能力.27(三)積極推進 ICT 供應鏈安全治理,完善符合我國情的開源生態.28 附件附件 20222022 年上半年明星漏洞回顧年上半年明星漏洞回顧 .2929 1 操作系統及服務器關鍵漏洞回顧.31 2 開源組件關鍵漏洞回顧.34 3 協同辦公軟件關鍵漏洞回顧.35 4 云原生及虛擬化關鍵漏洞回顧.37
8、 5 網絡設備及應用關鍵漏洞回顧.39 6 移動平臺關鍵漏洞回顧.40 1 一一、聚米為山聚米為山從統計數據看漏洞態勢從統計數據看漏洞態勢 (一)超高危漏洞數量持續攀升,利用難度低危害大(一)超高危漏洞數量持續攀升,利用難度低危害大的的漏洞漏洞仍是熱點仍是熱點 2022 年上半年,無論從新增通用型漏洞總體數量來看,還是從危害較大的超危、高危漏洞分布情況來看,漏洞仍然是網絡空間安全威脅的最大來源,漏洞數量持續增長,危害程度較大漏洞占比維持高位,一些容易被發現、利用難度不高但危害較大的漏洞類型成為熱點。據國家信息安全漏洞庫(CNNVD)的統計數據1,2022 年上半年新增通用型漏洞信息共計 124
9、66 條,按照超危、高危、中危、低危四種漏洞危害等級劃分,其中:超危漏洞 1927 個,占比 16%;高危漏洞 4639 個,占比 37%;中危漏洞 5478個,占比 44%;低危漏洞 422 個,占比 3%。漏洞危害等級分布如圖 1 所示,從漏洞風險等級的分布來看,超高危漏洞占比較大,超過 2022 年上半年公開披露漏洞數量的 50%。圖 1 2022 年上半年新增漏洞風險等級分布 從漏洞類型來看,2022 年上半年新增漏洞中跨站腳本、緩沖區錯誤、SQL 注入、輸入驗證錯誤、代碼問題等五種類型的漏洞數量最多,這也與美國 MITRE 發布的 2022 年 CWE 最危險的前 25 名軟件漏洞類
10、型(2022 Common Weakness 1https:/ 1927,超危,16%4639,高危,37%5478,中危,44%422,低危,3%超危高危中危低危 2 Enumeration(CWE)Top 25 Most Dangerous Software Weaknesses)2列表具有一致性。這些類型的漏洞通常很容易被發現、利用,并且可以讓攻擊者完全接管系統、竊取數據或阻止應用程序運行,危險性較大,是安全從業人員的重點關注對象。漏洞類型分布如圖 2 所示。圖 2 2022 年上半年新增漏洞威脅類型分布(二)(二)美企美企大廠大廠產品漏洞多發產品漏洞多發,持續成為安全研究焦點持續成為安
11、全研究焦點 美國作為全球信息產業的領先國家,無論是在頭部企業數量、技術創新水平方面,還是在其信息技術產品在全球應用、部署和使用量方面,均占據絕對優勢。谷歌、微軟、甲骨文、Adobe、思科等廠商的產品眾多,應用廣泛,成為 2022 年上半年受漏洞影響最為嚴重的廠商。這是因為美企大廠重視自身產品的安全問題,一方面利用自身力量不斷挖掘發現產品安全漏洞,及時修復3;另一方面通過各種激勵措施吸引外部安全研究人員參與漏洞分析,以提高產品的安全性4。此外,美企大廠均有較為規律的漏洞發布機制,定期發布安全公告和補丁信息,使其相關產品的漏洞受到重點關注?;?CNNVD 的漏洞收錄數據,將 2022 上半年的
12、12466 條漏洞信息根據影響 2 HTTP:/cwe.mitre.ort/top25/archive/2022/2022_cwe_top25.html 3 https:/google.github.io/oss-fuzz 4 https:/ 15241240927885744558338305262253020040060080010001200140016001800跨站腳本緩沖區錯誤SQL注入輸入驗證錯誤代碼問題資源管理錯誤信息泄露跨站請求偽造授權問題權限許可和訪問控制問題 3 廠商進行分類統計,如表 1 所示。漏洞數量排名前 10 家廠商中,8 家為美國企業,相關產品涉及操作系統、應用
13、軟件、數據庫軟件、網絡設備以及開源軟件等。表 1 2022 年上半年新增漏洞影響廠商 TOP10 序號序號 廠商名稱廠商名稱 漏洞數量漏洞數量 所占比例所占比例 1.WordPress(美)904 7.25%2.谷歌(美)622 4.99%3.微軟(美)487 3.91%4.甲骨文(美)259 2.08%5.Adobe(美)213 1.71%6.IBM(美)206 1.65%7.Tenda(中)170 1.36%8.蘋果(美)169 1.36%9.思科(美)168 1.35%10.三星(韓)160 1.28%(三)(三)供應鏈供應鏈安全風險凸顯,安全風險凸顯,開源軟件開源軟件漏洞“風頭正勁”漏
14、洞“風頭正勁”“太陽風”供應鏈漏洞攻擊的余溫未退,引起網絡空間更大安全恐慌的Log4j 漏洞又洶洶來襲,供應鏈漏洞正成為網絡空間的新風險。2022 年上半年,由于開源軟件和組件的應用越來越廣泛,以及供應鏈安全的熱度不斷提升,這類軟件的漏洞受到越來越多的關注。新思科技基于對 17 個行業的 2409 個代碼庫進行審計發現5,97%的代碼中存在開源組件漏洞,81%的代碼庫中包含至少一個已公開開源組件漏洞,49%的代碼庫中包含至少一個高風險漏洞。以被廣泛使用的 jQuery 開源組件為例,43%的被審計代碼庫使用了 jQurey 組件,該組件中的漏洞會對這些代碼庫的安全產生直接或間接影響。5 htt
15、ps:/ 4 圖 3 開源代碼庫漏洞情況 以“Spring4Shell”(CNNVD-202203-2514/CVE-2022-22965)漏洞事件為例,自 2022 年 3 月 29 日被小范圍公開后,其影響面迅速擴大,國外將其命名為“Spring4Shell”。2022 年 4 月 4 日,美國網絡安全和基礎設施安全局(CISA)將該漏洞添加到其已知利用漏洞目錄后,越來越多的攻擊者開始利用該漏洞傳播、部署惡意軟件和僵尸網絡。趨勢科技(Trend Micro)在 2022 年 4 月即發現該漏洞大量在野傳播,惡意攻擊者將此漏洞進行武器化利用并執行 Mirai 僵尸網絡惡意軟件6。此漏洞可以說
16、是 2022 年上半年熱度最大,也是近幾年來最嚴重的網絡安全威脅之一。圖 4“Spring4Shell”漏洞事件進展 6 https:/ 97%代碼中存在開源軟件漏洞81%代碼庫中包含至少一個公開開源軟件漏洞49%代碼庫中包含至少一個高風險漏洞 5 (四)漏洞(四)漏洞 POCPOC/ExploitExploit 信息增加信息增加,漏洞利用漏洞利用實戰化實戰化態勢態勢明顯明顯 漏洞 POC 為漏洞驗證、復現提供了樣本數據,公開的漏洞 POC/Exploit 信息增加了漏洞被廣泛利用的風險,尤其是有效的 Exploit 信息,將漏洞利用進一步推向實戰化,為攻擊者利用此類漏洞發起攻擊提供了極大便利
17、。經奇安信監測發現,2022 年上半年互聯網公開披露漏洞 POC/Exploit 的數量為 1876 個。在這些新增的漏洞 POC/Exploit 中,涉及 2022 年新增漏洞(CVE-2022-XXXX)的數量為 875 個,占 2022 年公開漏洞細節漏洞總量的 47%7,占 2022年上半年新增漏洞的 7%。具體統計情況如圖 5 所示。圖 5 2022 年上半年公開披露 POC/Exploit 情況(五)在野漏洞利用不斷增多,(五)在野漏洞利用不斷增多,APTAPT 組織囤積漏洞組織囤積漏洞工具工具蓄勢待發蓄勢待發 漏洞利用仍是 APT 組織進行網絡攻擊的主要手段,操作系統漏洞、終端應
18、用軟件漏洞、網絡設備漏洞、WEB 應用漏洞等在野利用情況均有增無減,其大量漏洞攻擊工具被 APT 組織或個人攻擊者私下掌握,漏洞工具囤積情況嚴重。經奇安信威脅監測發現,2022 年上半年新增在野利用漏洞數量 475 個,其中公開披露 POCEXP漏洞細節的漏洞共有 348 個,超過 70%的漏洞 POCEXP漏洞細節已經在互聯網上流傳7,8,并被某些 APT 組織或者惡意軟件團伙頻繁使用,這些漏洞存在較大的現實威脅,需盡快修復;涉及 2022 年新增漏洞的數量為 43個,0day 在野利用漏洞數量為 18 個9。新增在野利用漏洞中,Windows、Linux、macOS/iOS、Android
19、 等操作系統相關漏洞共計 90 個,網絡設備漏洞共計 82 個,7 奇安信威脅情報 8 HTTPS:/cisa.gov/known-exploiter-vulnerabilities-catalog 9 HTTPS:/googleprojectzero.github.io/0day-in-the-wild/rca.html 7%新增漏洞公開了漏洞細節47%公開POC/EXP為2022年新增漏洞 6 瀏覽器、辦公軟件等終端軟件相關漏洞共計 92 個,這三類漏洞占所有新增在野利用漏洞近 55%。在野利用漏洞分布情況如圖 6 所示。圖 6 2022 年上半年在野利用漏洞分布情況 據知道創宇監測數據顯
20、示,2022 年上半年最受關注十大 Web 漏洞被國內外黑客大量用于對我境內目標的攻擊活動,單一漏洞最大利用量超過 8000 萬次10。表 2 2022 年上半年最受關注的十大 Web 漏洞 序號序號 漏洞名稱漏洞名稱 漏洞漏洞編號編號 利用量利用量 1 Apache Log4j 遠程代碼執行漏洞 CNNVD-202112-799(CVE-2021-44228)84,371,231 2 IBM WebSphere Portal SSRF-2,879,741 3 Atlassian Crowd 遠程代碼執行漏洞 CNNVD-201905-1031(CVE-2019-11580)1,149,725
21、 4 Apache Druid 任意文件讀取漏洞 CNNVD-202109-1676(CVE-2021-36749)1,039,259 5 帆軟報表 V8 任意文件讀取漏洞 CNVD-2019-41405 1,028,775 6 若依管理系統任意文件讀取漏洞 CNVD-2021-15555 929,448 7 Apache Flink 目錄遍歷漏洞 CNNVD-202101-271(CVE-2020-17519)845,748 8 泛微 OA 前臺任意文件下載漏洞-831,286 9 Fortinet FortiOS 路徑遍歷漏洞 CNNVD-201905-1026(CVE-2018-1337
22、9)776,811 10 Spring4Shell 遠程代碼執行漏洞 CNNVD-202203-2514(CVE-2022-22965)729,057 APT 組織在攻擊活動中利用 1day 或 Nday 已成為標配動作,針對重點目標甚至不惜使用 0day 進行滲透。2022 年上半年,360 公司監測發現全球范圍內 APT 10 知道創宇-創宇安全智腦 操作系統,90,19%網絡設備,82,17%終端軟件,92,19%其他,211,45%7 組織利用的漏洞近 50 個,涉及組織 30 余個,360 高級威脅研究院于 2022 年 2月在全球范圍內率先捕獲到 APT-C-06(Darkhote
23、l)組織利用 Firefox 瀏覽器的2 個在野 0day 漏洞(CNNVD-202203-501、CNNVD-202203-503)針對特定目標進行水坑攻擊11。2022 年上半年有威脅情報團隊披露,具有俄羅斯情報部門背景的高級持續性威脅組織 APT28,向烏克蘭用戶投放惡意文檔,目的是竊取儲存在瀏覽器中的用戶憑據,使用的漏洞為在 Microsoft Windows 支持診斷工具(MSDT)中發 現 的 0day 漏洞 CNNVD-202205-4277(CVE-2022-30190),該 漏 洞 也稱為“Follina”。谷歌威脅分析團隊在 2022 年 6 月發布公告12稱,他們在 20
24、21 年發現的 9 個 0day 漏洞中有 7 個漏洞正在被惡意軟件團伙積極利用,并詳細說明了RCS Labs 惡意軟件團伙使用 CNNVD-202108-1974(CVE-2021-30883)、CNNVD-202108-2086(CVE-2021-30983)等 6 個發布在蘋果越獄社區的 0Day 漏洞,針對意大利和哈薩克斯坦的移動用戶發起惡意軟件攻擊的利用細節。據公開數據顯示,2022 年上半年,大量在野利用漏洞被多個 APT 組織在大規模攻擊活動中使用,既有 5 年甚至 10 年以上的“骨灰級”漏洞,也有“新鮮出爐”的 0day 漏洞,涉及操作系統、網絡設備及終端軟件等目標產品。具體
25、如表 3 所示:表 3 APT 活動相關漏洞列表 漏洞編號漏洞編號 影響產品影響產品 利用代碼利用代碼是否公開是否公開 涉及的涉及的 APTAPT 組織組織 攻擊事件披攻擊事件披露廠商露廠商 CNNVD-202203-501(CVE-2022-26485)Firefox 瀏覽器 否 APT-C-06(Darkhotel)36011,13 CNNVD-202203-501(CVE-2022-26486)CNNVD-202112-799(CVE-2021-44228)Apache Log4j 是 APT35;Charming Kitten;TA453;Phosphorus checkpoint14
26、 CNNVD-201704-692(CVE-2017-0199)Microsoft Office 是 BlueNoroff;Lazarus securelist15 奇安信16 CNNVD-201711-508(CVE-2017-11882)Microsoft Office 是 APT-35;SectorE02;摩訶草;Hangover;Patchwork;白象;APT-welivesecurity17 奇安信18 11 360 高級威脅研究院 12 https:/blog.google/threat-analysis-group/italian-spyware-vendor-targets-
27、users-in-italy-and-kazakhstan/13 https:/www.mozilla.org/en-US/security/advisories/mfsa2022-09/14 https:/ https:/ https:/ https:/ https:/ Q-36 CNNVD-201204-122(CVE-2012-0158)Microsoft Windows 是 ModifiedElephant sentinelone19 CNNVD-201403-433(CVE-2014-1761)Microsoft Office 是 CNNVD-201311-073(CVE-2013-
28、3906)Microsoft Windows 是 CNNVD-201504-253(CVE-2015-1641)Microsoft Office 是 CNNVD-202107-741(CVE-2021-34473)Microsoft Exchange 是 APT35;CharmingKitten;TA453;Phosphorus;COBALT;ILLUSION;ITG18;Newscaster thedfirreport20 CNNVD-202107-740(CVE-2021-34523)Microsoft Exchange 是 APT35;Charming Kitten;TA453;Phos
29、phorus;COBALTILLUSION;ITG19;Newscaster CNNVD-202105-543(CVE-2021-31207)Microsoft Exchange 是 APT35;Charming Kitten;TA453;Phosphorus;COBALTILLUSION;ITG20;Newscaster CNNVD-202203-2097(CVE-2022-24934)WPS Office 否 Operation Dragon Castling avast21 CNNVD-202202-1153(CVE-2022-0609)Google Chrome 否 Operation
30、 Dream Job;Operation AppleJeus 谷歌22 CNNVD-202006-1830(CVE-2020-15368)ASRock RGB Driver 是 未知 CISA23 CNNVD-201711-508(CVE-2017-11882)Microsoft Office 是 Bitter;T-APT-17 talosintelligence24 CNNVD-201801-355(CVE-2018-0802)Microsoft Office 是 CNNVD-201801-394 (CVE-2018-0798)Microsoft Office 否 Bitter;T-APT-
31、17;Tonto Team;CactusPete;Earth Akhlut Talosintelligence,sentinelone25 CNNVD-201910-954(CVE-2019-3010)Oracle Solaris 是 DecisiveArchitect Crowd Strike26 CNNVD-202203-2229(CVE-2022-1040)Sophos Firewall 否 DriftingCloud volexity27,sophos28 CNNVD-202205-4277(CVE-2022-30190)Microsoft Windows 是 APT28;Sofacy
32、;Fancy Bear malwarebytes29 documents-of-relevant-government-agencies-in-pakistan-as-bait/19 https:/ https:/ https:/decoded.avast.io/luigicamastra/operation-dragon-castling-apt-group-targeting-betting-companies/22 https:/blog.google/threat-analysis-group/countering-threats-north-korea/23 https:/www.c
33、isa.gov/uscert/ncas/alerts/aa22-103a 24 https:/ 25 https:/ https:/ https:/ https:/ https:/ 二二、見微知著見微知著從從“明星”“明星”漏洞看現實威脅漏洞看現實威脅 2022 年上半年,針對操作系統、開源組件、協同辦公軟件、云原生及虛擬化軟件、網絡設備、移動平臺等目標對象,均曝光了多個具有較大影響的漏洞,并在實際網絡攻擊中產生了較大現實威脅。通過對 2022 年上半年披露的 29 個“明星”關鍵漏洞的分析發現,76%的關鍵漏洞公開了漏洞細節,或披露了漏洞 POC,或有漏洞利用代碼公開傳播,41%的關鍵漏洞發
34、現在野利用的情況,具體情況如圖 7 所示。圖 7 2022 年明星漏洞統計情況(一)操作系統及服務(一)操作系統及服務端端漏洞漏洞助攻擊者獲得助攻擊者獲得較高控制較高控制權限權限 操作系統內核及服務端軟件一直是網絡攻擊的傳統目標,其相關漏洞也一直占據著重要位置。2022 年上半年,Windows、Linux 等操作系統及所屬服務端軟件爆出多個典型關鍵漏洞,且漏洞 POC 或 Exploit 代碼在互聯網上廣泛傳播,攻擊者利用此類漏洞能夠獲取對目標的較高控制權,進而為實施更深層次的網絡滲透提供更大的便利和可能。表 4 操作系統及服務端軟件“明星”漏洞 目標目標類型類型 受影響目標受影響目標 漏洞
35、編號漏洞編號 威脅類型威脅類型 C CVSVSS S 評評分分 漏洞威脅狀態漏洞威脅狀態 細節是細節是否公開否公開 PoCPoC 狀狀態態 EXPEXP 狀態狀態 在野在野 利用利用 操作系統及服務器 Windows Remote Desktop CNNVD-202203-691(CVE-2022-21990)代碼執行 8.8 是 已公開 未知 未知 Windows AD 域 CNNVD-202205-2850(CVE-2022-26923)權限提升 8.8 是 已公開 已公開 未知 Windows Network CNNVD-202205-2781代碼執行 9.8 是 已公開 未知 未知 4
36、1%41%在野被利用76%76%公開了漏洞細節 10 在 Windows 操作系統方面,2022 年上半年出現了 Remote Desktop Client 遠程代碼執行漏洞(CNNVD-202203-691)、Windows AD 域權限提升漏洞(CNNVD-202205-2850)、Windows Network File System 遠程代碼執行漏洞(CNNVD-202205-2781)、HTTP協議棧遠程代碼執行漏洞(CNNVD-202201-779)等重要漏洞。其中,CNNVD-202203-691 漏洞存在于 Windows 遠程桌面,幾乎影響了從 Windows7到 Windo
37、ws11,從 Windows server2008 到 Windows server2019 的大部分操作系統版本。值得注意的是值得注意的是,該漏洞的該漏洞的 POCPOC 代碼在微軟發布安全公告之前就已經在互代碼在微軟發布安全公告之前就已經在互聯網上公開傳播聯網上公開傳播。CNNVD-202205-2850 是一個域內權限提升漏洞,在安裝了活動目錄證書服務(Active Directory Certificate Service,ADCS)的默認活動目錄環境中,利用該漏洞可以將低權限的用戶升級為域管理員權限,從而完全控制域,該漏洞影響的 ADCS 服務常應用于企業級網絡內,是攻擊者進行滲透、
38、橫向是攻擊者進行滲透、橫向移動和數據移動和數據竊取竊取的一個關鍵目標的一個關鍵目標。該漏洞由趨勢科技 0day 計劃(Zero Day Initiative,ZDI)的研究員報告給微軟公司,微軟在 5 月 10 日發布了安全補丁進行修復,隨后 5 月 11 日 ZDI 的研究員就公開了漏洞細節及漏洞 POC。CNNVD-202205-2781 影響 Windows 網絡文件系統(Network File System,NFS),遠程攻擊者可通過向 NFS 服務器發送特制數據包來利用此漏洞,從而在目標系統上執行任意代碼。目前,此漏洞在此漏洞在微軟發布安全補丁之后,微軟發布安全補丁之后,Z ZDI
39、DI 的研究人員的研究人員在互聯網在互聯網上上公布了該漏洞的細節及公布了該漏洞的細節及 POCPOC 代碼代碼。CNNVD-202201-779 是影響 Windows 內核驅動程序的遠程代碼執行漏洞,由于 Windows HTTP 協議棧(HTTP.sys)中的 HTTP Trailer Support 功能中存在邊界錯誤導致緩沖區溢出而引起。雖然該漏洞僅影響 Windows10、Windows11、Window Server2019 和 Windows Server2022 的部分版本,但由于影響的均是服務端,且微軟在公告中提示該漏洞該漏洞“可蠕蟲化”,即“可蠕蟲化”,即File Syst
40、em(CVE-2022-26937)Windows HTTP 協議棧 CNNVD-202201-779(CVE-2022-21907)代碼執行 9.8 是 已公開 未知 未知 Windows RPC CNNVD-202204-3019(CVE-2022-26809)代碼執行 9.8 是 未知 未知 未知 Exchange Server CNNVD-202201-734(CVE-2022-21846)代碼執行 9.0 否 未知 未知 未知 CNNVD-202201-730(CVE-2022-21855)代碼執行 9.0 否 未知 未知 未知 CNNVD-202201-731(CVE-2022-2
41、1969)代碼執行 9.0 否 未知 未知 未知 Linux DirtyPipe CNNVD-202203-522(CVE-2022-0847)權限提升 7.8 是 已公開 已公開 未知 Linux Polkit CNNVD-202201-2343(CVE-2021-4034)權限提升 7.8 是 已公開 已公開 未知 11 無需用戶交互便可通過網絡進行自我傳播無需用戶交互便可通過網絡進行自我傳播,因此該漏洞仍然危害較大,應引起重視。Windows RPC Runtime 遠程代碼執行漏洞(CVE-2022-26809)是由于 RPC Runtime 在處理網絡數據的過程中缺乏校驗,存在整數溢
42、出問題,可允許攻擊者繞過后面的判斷邏輯進行越界讀寫。攻擊者無需身份認證和用戶交互無需身份認證和用戶交互,只需通過向目標系統發送特制的 RPC 數據包即可利用此漏洞,允許攻擊者在服務器端以與 RPC 服務相同的權限執行任意代碼。在 Linux 操作系統方面,2022 年上半年出現了 Linux DirtyPipe 內核本地權限提升漏洞(CNNVD-202203-522)和 Linux Polkit 本地權限提升漏洞(CNNVD-202201-2343)兩個影響較大的典型關鍵漏洞,這兩個漏洞均存在公開的 Exploit,攻擊者可基于已經公開的 Exploit 較為容易的開發出具有實戰效果的攻擊程序
43、。其中,CNNVD-202201-2343 是一個影響 Linux 近 13 年的漏洞,該漏洞存在于幾乎所有主流版本的 Linux 操作系統的默認配置中,攻擊者利用該漏洞能夠從普通權限提升到 root 權限,目前該漏洞的 Exploit 信息已經在互聯網上公開,由于該漏洞利用難度較低,因此被公認為被公認為 20222022 年最好用的權限提升漏洞年最好用的權限提升漏洞。在服務端軟件方面,Microsoft Exchange Server 作為在全球企業及學術機構中應用最為廣泛的電子郵件服務器軟件之一,一直都是黑客攻擊的首要目標。因郵件服務器中存儲大量數據,如果黑客發起攻擊,可能導致用戶敏感數據
44、泄露,給企業和用戶帶來重大損失。2022 年上半年,微軟公開披露了多個該軟件的遠程代碼執行漏洞,包括:CNNVD-202201-734、CNNVD-202201-730 以及 CNNVD-202201-731 等。其中,CNNVDCNNVD-202201202201-734734 被微軟標記為緊急漏洞,被微軟標記為緊急漏洞,CNNVDCNNVD-202201202201-730730、CNNVDCNNVD-202201202201-731731 風險等級為重要風險等級為重要。雖然目前沒有公開發現這些漏洞的 POC或 Exploit,但此類漏洞仍然值得重點關注。(二)開源組件及軟件漏洞(二)開源
45、組件及軟件漏洞波及范圍廣波及范圍廣 開源軟件中的安全漏洞在現實網絡攻擊中為攻擊者提供了新的攻擊思路,拓展了攻擊面,降低了攻擊難度,攻擊者通過利用開源軟件漏洞即可引發軟件供應鏈全過程的“鏈式反應”,周邊直接或間接關聯系統均會受到影響,甚至可能會出現“網狀蔓延”的態勢,攻擊影響可成倍甚至呈爆炸式放大。從俄烏沖突中知名開源組件 Node-ipc 被供應鏈投毒植入惡意代碼,到影響 12 JAVA 生態的 Spring 框架被披露存在嚴重漏洞甚至被廣泛利用,再到 Apache Struts2 漏洞不止,2022 年開源軟件漏洞風頭不減,仍是影響網絡安全的重要因素。同時,由于開源軟件天然的代碼可獲得性,曝
46、露出的漏洞極易被快速開發出POC 或者 Exploit,在網絡攻擊中作為網絡武器被廣泛使用。表 5 開源組件及軟件“明星”漏洞 阿帕奇基金會(Apache)是全球最大的開源軟件組織,負責管理運維數十個開源軟件項目。2022 年上半年,Apache Struts2 開源框架及 Apache APISIX 開源組件均披露了較為嚴重的安全漏洞。其中,Apache Struts2 作為全球最流行的輕量級 WEB 框架之一,在互聯網上對外開放的服務數量達到近 500 萬個,歷史上該開源框架曾經曝出很多高危漏洞,2022 年上半年該框架又曝出遠程代碼執行漏洞(CNNVD-202204-3223),雖然該漏
47、洞編號為 2021 年,但實際在 2022 年 4月才被公開披露。該漏洞的產生是由于其前一個漏洞 CNNVD-202012-449(S2-61)修復不完整導致的,攻擊者可通過構造惡意的 OGNL 表達式觸發漏洞,從而實現遠程代碼執行。在開源軟件及解決方案方面,Zabbix 作為一款應用廣泛的具有分布式系統監視以及網絡監視功能的企業級開源解決方案,能監視各種網絡參數,保證服務器系統的安全運營。該軟件被披露存在遠程代碼執行漏洞(CNNVD-202201-2514),任何具有“Zabbix Admin”角色的攻擊者都可以在對應服務器上運行自定義 shell腳本,并獲取控制權。該漏洞雖然利用難度較高,
48、但若管理員身份憑證泄漏,將影響企業中所有部署 Zabbix Agent 的服務器,影響面極其廣泛。目前,該漏洞該漏洞的的 ExploitExploit 代碼已經在互聯網上公開傳播代碼已經在互聯網上公開傳播。(三)(三)協同辦公軟件協同辦公軟件漏洞漏洞危及企業運行危及企業運行 遠程辦公、協同辦公、在線會議等軟件因新冠疫情原因需求猛漲,大量軟件、目標類目標類型型 受影響目標受影響目標 漏洞編號漏洞編號 威脅類型威脅類型 C CVSSVSS評分評分 漏洞威脅狀態漏洞威脅狀態 細節是細節是否公開否公開 PoCPoC 狀狀態態 EXPEXP 狀態狀態 在野在野 利用利用 開源組件 Apache Stru
49、ts2 CNNVD-202204-3223(CVE-2021-31805)代碼執行 9.8 是 已公開 已公開 未知 Zabbix CNNVD-202201-2514(CVE-2021-46088)代碼執行 7.2 是 已公開 已公開 未知 13 服務曝露于互聯網上。由于這些應用軟件及系統深度融合了企業的運作及生產經營,甚至承載企業大量的敏感信息,它們存在的漏洞、曝露的安全風險會造成重要敏感信息泄露,嚴重的會危及企業的正常運行及生存。2022 年,多款協同辦公軟件爆出高危漏洞,既有在全球部署和使用的大型軟件系統,又有我國內本土軟件,其中多個漏洞均已發現被攻擊者在野利用。表 6 協同辦公軟件明星
50、漏洞 2022 年上半年影響辦公類軟件最嚴重的漏洞之一就是微軟 Windows 支持診斷工具 MSDT(Microsoft Support Diagnostics Tool)遠程代碼執行漏洞(CNNVD-202205-4277)。MSDT 是 Windows 系統中用于排除故障并收集診斷數據以支持專業人員分析以解決問題,該漏洞影響了微軟 Office 2019、Office 2021 以及 Office 365 的 5 月版本。由于該漏洞被檢測出 0day 在野利用,迫于漏洞的影響力及關注度,微軟于 2022 年 5 月 30 日發布緊急通告給出了相應緩解措施,從而在一定程度緩解了該漏洞影響,
51、并最終于 6 月補丁日得到修復。雖然該漏洞的遠程利用場景需要用戶交互,攻擊者需要利用某些手段來誘導用戶打開特制文件,但由于該漏洞的危害程度及影響范圍,由于該漏洞的危害程度及影響范圍,在實際網絡攻擊中仍作為攻擊在實際網絡攻擊中仍作為攻擊工工具具被廣泛應用被廣泛應用。在協同辦公軟件及系統方面,企業級軟件 Microsoft SharePoint Server 及Atlassian Confluence 均出現嚴重漏洞。其中,Microsoft SharePoint Server公開了多個遠程執行代碼漏洞,CNNVD-202202-580 和 CNNVD-202205-2730 被微軟標記為“更更有
52、可能被利用有可能被利用(Exploitation More Likely)”,這些漏洞允許經過身份驗證的攻擊者在目標服務器上以 SharePoint Web 服務帳戶權限執行任目標目標類型類型 受影響目標受影響目標 漏洞編號漏洞編號 威脅類型威脅類型 C CVSVSS S 評評分分 漏洞威脅狀態漏洞威脅狀態 細節是細節是否公開否公開 PoCPoC 狀狀態態 EXPEXP 狀態狀態 在野在野 利用利用 協同辦公軟件 Windows MSDT CNNVD-202205-4277(CVE-2022-30190)代碼執行 7.8 是 已公開 已公開 已發現 MS SharePoint Server C
53、NNVD-202202-580(CVE-2022-22005)代碼執行 9.0 否 未知 未知 未知 CNNVD-202205-2730(CVE-2022-29108)代碼執行 9.0 否 未知 未知 未知 Atlassian Confluence CNNVD-202206-442(CVE-2022-26134)代碼執行 9.8 是 已公開 已公開 已發現 向日葵 CNVD-2022-10270 代碼執行 9.8 是 已公開 未知 已發現 釘釘 NA 代碼執行 8.8 是 已公開 未知 已發現 14 意代碼。SharePoint 軟件系統擁有超過 200,000 個組織和 1.9 億人的用戶,
54、因此漏洞的影響范圍極廣。Atlassian Confluence 是一個專業的企業知識管理與協同軟件,主要用于構建企業知識庫。2022 年上半年,Atlassian Confluence Server 及 Confluence Data Center 中曝出嚴重的遠程代碼執行漏洞(CNNVD-202206-442),利用該漏洞,任意用戶僅通過發送一條 HTTP GET 請求即可在目標服務器上執行任意代碼,獲取服務器權限。由于該該漏洞利用難度極低漏洞利用難度極低,之后披露出多起攻擊事件均利用該漏洞進行攻擊。在我國本土協同辦公軟件方面,向日葵遠程控制軟件和釘釘軟件均出現較為嚴重的安全漏洞。其中,向
55、日葵遠程控制軟件是一款免費的集遠程控制電腦手機、遠程桌面連接、遠程開機、遠程管理、支持內網穿透于一體的遠程控制管理工具軟件。2022 年 2 月,該軟件該軟件 WindowsWindows 版本被曝光存在遠程命令執行漏洞,并已版本被曝光存在遠程命令執行漏洞,并已經發現在野利用經發現在野利用,由于很多企業的安全意識不足,將向日葵的接口主動曝露在公網,在漏洞公開后,大量企業受到了攻擊,包括挖礦、勒索、僵尸網絡等,且漏洞影響的對應版本不能通過自動升級的方式進行軟件升級,這更是給了不法分子充足的時間進行惡意攻擊,從而使企業遭受更大損失。釘釘(DingTalk)是阿里巴巴集團專為中小企業打造的溝通和協同
56、的多端平臺。2022 年 2 月,釘釘遠程代碼執行漏洞被公開30,并已發現在野利用,攻擊者通過將惡意鏈接發送至受害者,誘使受害者點擊該鏈接,釘釘即會獲取惡意鏈接指向的網頁內容并用內置瀏覽器渲染,從而觸發漏洞,在受害者電腦上遠程執行代碼。通過該漏洞,攻擊者攻擊者可將受害者的機器當作跳板,用來攻擊企業內網,從而獲取企業內部數據,使企可將受害者的機器當作跳板,用來攻擊企業內網,從而獲取企業內部數據,使企業遭受不必要的損失業遭受不必要的損失。(四四)云原生及虛擬化漏洞影響云基礎設施)云原生及虛擬化漏洞影響云基礎設施安全安全 隨著云計算技術的不斷和發展,云原生的安全引起了業界的廣泛關注,云原生相關組件的
57、漏洞,威脅到云基礎設施的整體安全,甚至會滲透并威脅到云上業務應用的安全。2022 年,云原生開源組件及引擎、虛擬化軟件等均爆出多個關鍵漏洞,且相關漏洞利用代碼被廣泛傳播,在多起網絡安全事件中發現漏洞被利用,嚴重危害了相關云平臺的安全。30 https:/ 15 表 7 云原生及虛擬化軟件“明星”漏洞 Apache APISIX 是一個云原生、高性能、可擴展的微服務 API 網關,在云計算系統中具有廣泛的應用,2022 年上半年,該組件曝出了遠程代碼執行漏洞(CNNVD-202202-1030),攻擊者可通過該漏洞繞過 Apache APISIX 數據平面的 IP限制,在 Apache APIS
58、IX 默認配置下(啟用管理 API,使用默認管理密鑰且未分配額外的管理端口),攻擊者可通過 batch-requests 插件調用 Admin API 執行任意命令。由于 APIAPI 網關網關在云平臺微服務架構中在云平臺微服務架構中承擔著守衛微服務應用入口的承擔著守衛微服務應用入口的重重要作用要作用,其出現安全問題將使微服務,其出現安全問題將使微服務曝曝露于風險之中露于風險之中。Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 構建的 API 網關,它旨在為云原生的微服務架構提供一種簡單、有效、統一的 API 路由管理方式。該組件
59、被爆出存在遠程代碼執行漏洞(CNNVD-202203-161),當使用Spring Cloud Gateway 的應用程序啟用并公開 Actuator 端點時,遠程攻擊者可利用該漏洞進行 SpEL 表達式注入攻擊,最終在目標服務器上執行任意代碼。2022年 4 月,Securonix 的研究人員在對 Fortinet 發現的 EnemyBot 僵尸網絡惡意樣本進行分析時發現,該僵尸網絡集成了此漏洞進行網絡攻擊僵尸網絡集成了此漏洞進行網絡攻擊。除此之外,還發現Sysrv-hello 挖礦僵尸網絡利用此漏洞攻擊用戶服務器進行挖礦,嚴重影響正常用戶業務運轉。Splunk Enterprise 是機器
60、數據的引擎軟件,廣泛應用于云平臺中,用于進行數據收集和分析。該軟件服務端 9.0 之前的版本存在遠程代碼執行漏洞(CNNVD-202206-1484),控制了通用轉發器客戶端的攻擊者,可利用該漏洞在訂閱部署服務器的所有其他通用轉發器端點上執行任意代碼,將轉發器捆綁包通過該服務器部署到其他部署客戶端。雖然該漏洞公開了該漏洞公開了 POCPOC 代碼,但暫未發現有效代碼,但暫未發現有效目標目標類型類型 受影響目標受影響目標 漏洞編號漏洞編號 威脅類型威脅類型 C CVSSVSS評分評分 漏洞威脅狀態漏洞威脅狀態 細節是細節是否公開否公開 PoCPoC 狀態狀態 EXPEXP 狀態狀態 在野在野 利
61、用利用 云原生及虛擬化 Apache APISIX CNNVD-202202-1030(CVE-2022-24112)代碼執行 9.8 是 已公開 已公開 未知 Spring Cloud Gateway CNNVD-202203-161(CVE-2022-22947)代碼執行 8.0 是 已公開 已公開 已發現 Splunk CNNVD-202206-1484(CVE-2022-32158)代碼執行 9.0 否 已公開 未知 未知 VMware CNNVD-202205-3716(CVE-2022-22972)身份認證繞過 9.8 是 已公開 已公開 已發現 16 的公開利用代碼傳播情況的公開
62、利用代碼傳播情況。VMware 是一家傳統老牌提供虛擬化解決方案的廠商,其大量產品在企業的云平臺、虛擬化系統中廣泛部署和使用。2022 年上半年,VMware 被曝存在身份認證繞過漏洞(CNNVD-202205-3716),影響 VMware Workspace ONE Access Identity Manager 和 vRealize Automation 等多款產品。通過該漏洞,對相關系統 UI 具有網絡訪問權限的惡意攻擊者無需進行身份驗證即可獲得管理訪問權限。攻擊者通過修改 HOST 為偽造的 HTTPS 服務器地址,從而繞過認證并獲取有效 cookie 進一步利用。目前該漏洞的利用代
63、碼已經公開,并已經發現在野利用該漏洞的利用代碼已經公開,并已經發現在野利用情況情況。(五)(五)邊界邊界設備漏洞設備漏洞使使網絡網絡“大門失守”“大門失守”路由器、交換機等網絡設備是網絡連接的樞紐,防火墻、IDS/IPS 等網絡安防設備守護著網絡的“大門”,一旦控制網絡邊界設備,其連接的各種終端都將曝露在攻擊者面前,一旦突破安防設備,攻擊者將如入無人之境,這一切都將造成嚴重的網絡安全危害。2022 年上半年,多款網絡邊界設備被曝出嚴重安全漏洞,既有負責網絡管理的負載均衡產品,又有防火墻等安全防護設備,還有保障終端安全的防護產品,影響范圍覆蓋了從互聯網到企業內網、從服務器到終端設備。這些漏洞的另
64、一個共同特點就是,因其影響范圍廣、危害嚴重,在公開后即被攻擊者快速分析,依次研發出具有較好效果的攻擊工具進行應用。表 8 邊界設備“明星”漏洞 F5 BIG-IP 是美國 F5 公司的一款具備網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺,在全球擁有大量用戶。F5 BIG-IP iControl 目標目標類型類型 受影響目受影響目標標 漏洞編號漏洞編號 威脅類威脅類型型 C CVSVSS S評評分分 漏洞威脅狀態漏洞威脅狀態 細節是細節是否公開否公開 PoCPoC 狀狀態態 EXPEXP 狀態狀態 在野在野 利用利用 網絡設備及應用 F5 BIG-IP CNNVD-202205-
65、2141(CVE-2022-1388)命令執行 9.8 是 已公開 已公開 已發現 Zyxel 防火墻 CNNVD-202205-3104(CVE-2022-30525)命令執行 9.8 是 已公開 已公開 已發現 Trend Micro Apex Central CNNVD-202203-2508(CVE-2022-26871)代碼執行 8.6 是 已公開 已公開 已發現 17 REST 存在命令執行漏洞(CNNVD-202205-2141),該漏洞允許遠程未經身份驗證的攻擊者繞過 iControl REST 服務身份驗證訪問內部敏感服務,將惡意命令注入到執行的命令行中,從而控制 F5 BI
66、G-IP。由于 F5 BIG-IP 常用于企業級網絡中,攻擊者借此可以入侵企業網絡,進行橫向移動、深度滲透等危害行為。該漏洞 POC及在野利用于 2022 年 5 月 10 日公開,美國美國 CISACISA 于于 5 5 月月 1818 日專門針對此漏洞日專門針對此漏洞發布安全公告,對該漏洞風險進行告警發布安全公告,對該漏洞風險進行告警。合勤(Zyxel)是一家臺灣的網絡設備供應商,其網絡安全設備在全球具有廣泛應用。2022 年 4 月,Zyxel 的 ATP 系列、VPN 系列和 USG FLEX 等系列的防火墻曝出存在遠程命令執行漏洞(CNNVD-202205-3104),遠程攻擊者可以
67、利用該漏洞在未登錄情況下,通過特定 HTTP 接口向防火墻注入惡意命令,攻擊者可利用該漏洞反彈 shell、下載惡意模塊等,利用方法簡單穩定。由于防火墻是邊界設備,一旦防火墻遭受威脅,內部脆弱的網絡系統也將受到外部攻擊者的威脅。Zyxel 于 2022 年 4 月 28 日發布了該漏洞的補丁,一定程度上緩解了危害影響。目前,該漏洞的利用代碼已經公開,并已發現在野利用情況。Trend Micro Apex Central 是一個中央管理控制臺,通過策略管理功能,管理員可以進行產品設置并將其部署到受管理的終端。該軟件被曝存在任意文件上傳漏洞(CNNVD-202203-2508),遠程攻擊者可以利用
68、該漏洞上傳任意文件到Trend Micro Apex Central 中,并造成遠程代碼執行,植入 webshell。該漏洞利用復雜度低,且不需要權限即可上傳任意文件到中央服務器,造成遠程代碼執行并部署 webshell。由于 Trend Micro Apex Central 可以管理受控的終端,一旦失陷將造成極大危害。需要注意的是,目前已監測到有攻擊組織利用該漏洞攻已監測到有攻擊組織利用該漏洞攻擊東南亞某些組織擊東南亞某些組織。(六)移動(六)移動終端終端漏洞漏洞威脅個人隱私及數據安全威脅個人隱私及數據安全 移動終端作為互聯網的另一個重要入口之一,承載了大量的社交、隱私等功能和數據,其安全問
69、題會直接威脅個人隱私及數據安全。移動終端安全漏洞的焦點地位從未改變,尤其是系統層面的高價值漏洞。蘋果、Android 作為移動終端的兩大主流操作系統,在 2022 年上半年的漏洞情況不容樂觀,均曝露出 0day 漏洞及在野利用情況。18 表 9 移動終端“明星”漏洞 2022 年 1 月,美國蘋果公司發布安全通告,修復存在于內核中IOMobileFrameBuffer 權限提升漏洞(CNNVD-202201-2410),該漏洞存在于 iOS,iPadOS 及 macOS 中,是由于 2021 年 12 月修復的 Apple IOMobileFrameBuffer權限提升漏洞(CNNVD-202
70、202-955)沒有完全修復而產生。通過該漏洞,攻擊者可以制作一個惡意應用程序,受害者安裝后,攻擊者可以在受害者設備以內核權限執行任意代碼,從而獲取到未授權的受害者設備信息,比如通訊錄、照片、視頻等等。2022 年 2 月,蘋果公司發布安全通告修復存在于 WebKit 瀏覽器引擎中的 0day 漏洞(CNNVD-202202-955),這是 Apple 繼 CNNVD-202201-2410 后第二次發布 0day 漏洞補丁。Apple 所有型號設備中的瀏覽器都基于 WebKit 引擎開發,故該漏洞影響 iOS、iPadOS 及 macOS 中所有的瀏覽器,利用該漏洞需請求惡意鏈接,成功利用該
71、漏洞可在受害者機器上執行任意代碼。該該漏洞最初漏洞最初在在 20132013 年年已已完全完全修復,修復,但在但在 20162016 年代碼重構時年代碼重構時重新引入重新引入,最終于 2022 年初官方發布通告披露在野利用。該漏洞在野被利用時長暫不清楚,但該漏洞已存在約 5 年時間。谷歌安卓媒體編碼器組件遠程代碼執行漏洞是由于 tpdec_lib.cpp 中的堆溢出,導致越界寫入,未經身份驗證的遠程攻擊者可以利用該漏洞在目標系統上執行任意代碼,且無需用戶交互。該漏洞利用方式簡單,難度低,場景廣泛,通利用方式簡單,難度低,場景廣泛,通過利用該漏洞攻擊者可以控制目標系統過利用該漏洞攻擊者可以控制目
72、標系統。谷歌 Pixel 本地權限提升漏洞影響搭載著原生的安卓系統谷歌 Pixel/Pixel XL 手機系列。由于 Mali GPU 內核驅動存在越界寫入漏洞,攻擊者利用該漏洞能夠從普通權限提升到 ROO T 權限。谷歌Pixel 本地權限提升漏洞利用無需用戶交互,利用方式簡單,難度低,場景廣泛,通過利用該漏洞攻擊者可以提升用戶權限。值得注意的是該漏洞存在在野利用該漏洞存在在野利用。目標目標類型類型 受影響目標受影響目標 漏洞編號漏洞編號 威脅威脅類型類型 C CVSVSS S 評評分分 漏洞威脅狀態漏洞威脅狀態 細節是細節是否公開否公開 PoCPoC 狀狀態態 EXPEXP 狀態狀態 在野
73、在野 利用利用 移動終端 Apple IOMobileFrameBuffer CNNVD-202201-2410(CVE-2022-22587)權限提升 9.8 是 未公開 未公開 已發現 Apple Webkit CNNVD-202202-955(CVE-2022-22620)代碼執行 8.8 是 已公開 未公開 已發現 Google Android CNNVE-202206-590(CVE-2022-20130)代碼執行 9.8 否 未知 未知 未知 Google Pixel CNNVD-202203-541(CVE-2021-39793)權限提升 7.8 否 未知 未知 已發現 19 三
74、三、落葉知秋落葉知秋從漏洞態勢看威脅變革從漏洞態勢看威脅變革 (一)漏洞(一)漏洞作作為戰略資源的地位愈發為戰略資源的地位愈發凸顯凸顯 漏洞作為網絡空間的重要資源漏洞作為網絡空間的重要資源,攻防雙方對抗的關鍵核心,攻防雙方對抗的關鍵核心,漏洞數量持續增漏洞數量持續增長,長,其受到關注的程度其受到關注的程度也日益提高也日益提高。無論從漏洞總量,還是從超高危漏洞占比上來看,2022 年上半年漏洞數量仍然呈持續增長態勢,微軟、谷歌、Adobe 等全球布局的大廠相關產品仍然是漏洞高發區。2022 年上半年,公開披露的漏洞數量達到近三年來新高。其中排名前十的廠商披露的漏洞數量占到了 27%,這也從側面反
75、映了大廠產品在當前軟件生態中地位的重要性。據知道創宇提供的監測數據顯示,2022 年上半年境內外黑客利用漏洞對我國內目標發起了大量攻擊,其中利用 Log4j 漏洞的攻擊次數就超過 8 千萬,占據所有漏洞利用量的榜首,典型漏洞利用攻擊以政府機構、教育、IT 行業領域的信息系統為主要目標31。表 10 利用典型漏洞的網絡攻擊次數 網絡攻擊重點網絡攻擊重點重點目標行業重點目標行業 受攻擊次數受攻擊次數 Log4j2Log4j2 漏洞漏洞 (CNNVDCNNVD-202112202112-799799)Spring4ShellSpring4Shell 漏洞漏洞 (CNNVD(CNNVD-2022032
76、02203-25142514)Atlassian CrowdAtlassian Crowd (CNNVDCNNVD-201920190505-10103131)政府機構 4,927,131 277,617 213,776 教育 444,048 20,198 13,758 IT 行業 1,154,418 224,876 41,816 漏洞及其管控措施已經成為網絡空間博弈的重要方面漏洞及其管控措施已經成為網絡空間博弈的重要方面。2022 年上半年,美國、歐盟等相繼出臺多項政策、措施,以實施對漏洞的有效管控,一方面在其國內或盟友之間鼓勵、激勵漏洞的發現及相關資源的共享,另一方面針對特定國家及地區的政
77、府組織和個人,設置了更加嚴格的條件限制漏洞資源以及相關技術工具的披露、共享等合作。31 知道創宇-創宇安全智腦 20 圖 8 2022 年上半年發布的主要漏洞管控政策 4 月 13 日,歐洲網絡及信息安全局(ENISA)發布 歐盟協調漏洞披露政策(Coordinated Vulnerability Disclosure Policies in the EU)報告32,全面概述歐盟在實施協調漏洞披露(CVD)政策時面臨的各種挑戰并提出了具體建議,包括修訂刑法和網絡犯罪指令,為參與漏洞發現的安全研究人員提供法律保護;在為安全研究人員建立任何法律保護之前,定義明確區分“道德黑客”和“黑帽”活動的具體
78、標準;通過國家或歐洲漏洞賞金計劃,或通過促進和開展網絡安全培訓,為安全研究人員制定積極參與 CVD 研究的激勵措施等內容。5 月 26 日,美國商務部工業和安全局(BIS)發布信息安全控制:網絡安全物項33,該項規定以維護美國國家安全和反恐為由,新增經授權的網絡安全物項出口許可例外,就美國實體與相關國家及地區的政府組織和個人開展網絡安全漏洞合作時,以及出口網絡安全漏洞檢測、修復、披露相關的技術產品時,要事先通過美國商務部的審核,中國亦在受限國家之列。此規定體現了美國在漏洞方面的趨勢和動向。5 月 19 日,美國司法部公布一項政策調整,將不再對違反美國聯邦黑客法計算機欺詐與濫用法(CFAA)34
79、的善意安全研究提起訴訟。其所謂的善意安全研究是指僅出于善意測試、調查和/或糾正安全漏洞的目的訪問計算機,而此類活動的執行方式旨在避免對個人或公眾造成任何傷害,從活動中獲得的信息主要用于促進被訪問計算機所屬的設備、機器或在線服務類別或使用此類設備、機器或在線服務的人的安全性。美國司法部副部長 Lisa O.Monaco 在公告的相關聲明中 32 https:/www.enisa.europa.eu/news/enisa-news/coordinated-vulnerability-disclosure-policies-in-the-eu rity-items 33 https:/www.fed
80、eralregister.gov/documents/2022/05/26/2022-11282/information-security-controls-cybersecu 34 https:/www.justice.gov/opa/press-release/file/1507126/download 21 表示,“司法部從不打算將善意的計算機安全研究視為應被起訴的罪行。此次公告希望為善意的安全研究人員提供清晰指引,鼓勵研究者出于公共利益去根除漏洞?!保ǘ└黝惸繕烁邇r值漏洞)各類目標高價值漏洞層出不窮層出不窮 邊界設備在網絡中的樞紐作用及邊界設備在網絡中的樞紐作用及“守大門”的“守大
81、門”的重要角色和關鍵作用重要角色和關鍵作用,決定了,決定了其其漏洞漏洞在在網絡攻防中網絡攻防中愈發愈發受到關注受到關注。通過漏洞突破網絡邊界設備,能夠為攻擊者打開通向內網的大門,實現更深層次的攻擊滲透。根據統計發現,2021 年上半年期間主流網絡設備漏洞數量共計 546 個,達到近三年的峰值,雖然 2022 年上半年數量有所下降,但也有近 300 個之多。近三年主流網絡設備漏洞數量統計如圖9 所示。圖 9 2020 年-2022 年上半年主流網絡設備漏洞統計 根據美國 CISA 已知被利用漏洞統計數據,在 2022 年上半年新增收錄的 475個已知被利用漏洞中,網絡邊界設備及應用的漏洞數量為
82、82個,占比達到了 17%,其中受影響最嚴重的廠商為美國思科公司。網絡設備在野被利用漏洞分布情況如圖 10 所示。44183912049264301422185168384572594319827144621920147426701002003004005006002020上2020下2021上2021下2022上FortinetciscoJuniperzyxelPalo AltoSophos 22 圖 10 在野利用漏洞中網絡設備相關漏洞的分布 終端作為網絡安全戰場上的最后一塊陣地,始終是攻防雙方爭奪的焦點終端作為網絡安全戰場上的最后一塊陣地,始終是攻防雙方爭奪的焦點。由于此類漏洞能夠達到“
83、直搗黃龍”的攻擊效果,因此危害仍不容小覷。通過利用利用終端應用軟件漏洞、操作系統內核漏洞等能夠使攻擊者終端應用軟件漏洞、操作系統內核漏洞等能夠使攻擊者直達目標直達目標,獲取終端系統、服務器的控制權,進而達到滲透、竊取信息和破壞的目的。2022 年上半年,以辦公軟件瀏覽器軟件等消費級軟件、WindowsLinuxmacOSAndroid 等幾大操作系統內核等為目標的影響終端安全的漏洞層出不窮。以操作系統為例,2022 年上半年公開披露漏洞共計 665 個,占 2022 年上半年披露漏洞總數的 6%。在四大主流操作系統中,Windows 操作系統漏洞 262 個,占操作系統漏洞數量的 39%;An
84、droid 系統漏洞共計 290 個,占比 44%;macOS 漏洞共計 65 個,占比 10%;Linux內核漏洞 48 個,占比 7%。主要統計情況如圖 11 所示。cisco,48,58%Citrix,4,5%D-link,8,10%F5,2,3%Fortinet,2,3%Juniper,1,1%Netgare,6,7%Palo Alto,2,2%Sonicwall,4,5%Pulse Secure,1,1%Sophos,2,2%Tplink,1,1%Zyxel,2,2%23 圖 11 2022 年上半年操作系統漏洞情況統計 協同辦公協同辦公、遠程會議類軟件漏洞成為新的關注焦點遠程會議類
85、軟件漏洞成為新的關注焦點。受疫情等原因的影響,遠程在線辦公的需求猛漲,多個遠程辦公系統、企業 OA 系統、在線會議系統等被爆出高可利用漏洞,攻擊者將此類漏洞作為攻擊突破口,導致大量企業因此類軟件的漏洞受到攻擊。在 2022 年 5 月舉行的全球最知名的 PWN20wn 2022 黑客大賽,微軟 Teams 軟件、ZOOM 在線會議軟件成為漏洞挖掘和利用的主要目標產品。在大賽首日,參賽隊伍就攻破了微軟 Teams 軟件;在大賽期間,微軟 Teams 軟件被爆出多個高可利用漏洞,3 只參賽隊伍通過不同的漏洞分別構造了針對 Teams軟件的完整攻擊鏈。此外,微軟的 MSDT 支持診斷工具的遠程代碼執
86、行漏洞影響了 OFFICE 全系列產品、Atlassian Confluence 企業協同軟件的漏洞影響其服務器安全,國內廠商的向日葵遠程控制軟件漏洞、釘釘遠程辦公軟件漏洞影響國內大量用戶,這幾個關鍵漏洞均發現在野利用的情況,攻擊者已經在利用此類漏洞開展網絡入侵滲透活動。供應鏈供應鏈安全熱度不減,安全熱度不減,開源軟件開源軟件漏洞首當其沖漏洞首當其沖。在信息技術全球化的背景下,開源軟件在各領域得到廣泛應用,軟件供應鏈安全熱度持續高升。由于開源軟件錯綜復雜的依賴關系,在信息技術領域天然存在的供應鏈中,放大了傳統安全漏洞的危害和影響。(三)(三)漏洞漏洞利用實戰化利用實戰化需需高度警惕高度警惕 漏
87、洞在野利用形勢嚴峻,漏洞在野利用形勢嚴峻,實戰化的漏洞利用防不勝防。實戰化的漏洞利用防不勝防。漏洞的在野利用情況Windows,262,39%Linux Kernel,48,7%Android,290,44%MacOS,65,10%WindowsLinux KernelAndroidMacOS主流操作系統漏洞數量,665,6%主流操作系統漏洞數量 24 是體現漏洞真實危害的重要參考,2022 年上半年,漏洞在野利用的形勢十分嚴峻,在野利用漏洞的數量仍呈現整體上升趨勢,0day、Nday 高可利用漏洞平分秋色,在現實網絡攻擊中被普遍使用。需要引起注意的是,一些影響范圍廣、危害程度高的“骨灰級”歷
88、史漏洞仍然受到追捧,甚至在 APT 攻擊事件中頻繁現身。據統計,2022 年新增在野被利用漏洞中,近 3 年(CVE 編號為 CVE-2020-XXX至 CVE-2022-XXX)的漏洞占比為 26%,5 年之前(CVE 編號為 CVE-2016-XXX 以及之前)的漏洞占比達到 39%,如圖 12 所示。2022 年新增漏洞中,其中有 43 個被監測到發生在野被利用情況,其中 18 個漏洞最初被發現在野利用時為 0day 狀態,占比高達 42%,如圖 13 所示。圖 12 新增在野被利用漏洞情況 圖 13 新增漏洞在野利用情況統計 終端應用軟件(如 Acrobat Reader、chrome
89、、edge、FireFox、Flash Player、MS Office 等)被監測到在野被利用漏洞數量共計 92 個,四大主流操作系統被監測到在野被利用漏洞共計 90 個,主要分布情況如圖 14 所示 0Day在野利用,18,42%Nday在野利用,25,58%2022,9%2021,11%2020,6%2019,12%2018,11%2017,12%2017年之前,39%25 圖 14 2022 年上半年終端應用及操作系統 漏洞在野利用情況 在現實在現實網絡攻擊事件中,大量的在野利用漏洞被發現在網絡攻擊事件中,大量的在野利用漏洞被發現在 APTAPT 攻擊中攻擊中被使用被使用。據奇安信威脅
90、監測發現,2022 年上半年近 20 個在野利用漏洞被 APT 組織使用,其中 Microsoft Office 漏洞(CNNVD-201711-508)、Microsoft Exchange 漏洞(CNNVD-202107-741、CNNVD-202107-740、CNNVD-202105-543)雖為較為久遠的歷史漏洞,但由于其影響范圍及危害程度,被至少 7 個 APT 組織在攻擊中使用。(四)(四)攻防對抗加劇對漏洞修復提出更高要求攻防對抗加劇對漏洞修復提出更高要求 歷史漏洞歷史漏洞修復后再被突破修復后再被突破,漏洞修復從亡羊補牢變成牽蘿補屋漏洞修復從亡羊補牢變成牽蘿補屋。在操作系統及軟
91、件的漏洞防護措施及緩解機制普遍部署下,網絡安全整體防護水平不斷在提高。但這種情況并沒有阻止漏洞被成功利用,甚至還激發了攻擊者探求更高級的漏洞利用手法和技巧,因此廠商對漏洞的修復就變得至關重要。然而,數據顯示廠商實際漏洞修復質量不高,很大比例漏洞均是由于廠商沒有完全修補造成,漏洞修復從亡羊補牢變成牽蘿補屋,導致很大比例已修復漏洞再被利用。美國谷歌公司發布的報告2022 年 0day 在野利用到目前為止跟蹤分析了 2022 年上半年在野被利用的 18 個 0day,報告顯示,至少有 9 個 0day 漏洞是先前已修復漏洞的變種,通過更完善、更全面修復和完備測試能夠避免這種情況的發生。此外,2022
92、 年在野利用的 0day 漏洞中,有 4 個漏洞為 2021 年在野利用 0day 漏洞的變種,也就是說攻擊者在不到 12 個月的時間就突破漏洞的補丁修復方案,又實現了對漏洞的再利用。Windows,Apple,8linux,6Andorid,2WindowsApplelinuxAndoridAcrobat Reader,17,18%chrome,15,16%edge,3,3%FireFox,7,8%Flash Player,30,33%MS Office,20,22%Acrobat ReaderchromeedgeFireFoxFlash PlayerMS Office 26 表 11 在野
93、利用 0day 漏洞與歷史漏洞關聯情況 20222022 年在野年在野 0day0day 漏洞漏洞 相關聯歷史漏洞相關聯歷史漏洞 受影響實體受影響實體 再現原因再現原因 CNNVD-202201-802 (CVE-2022-21882)CVE-2021-1732 Windows win32k 修補不完善 CNNVD-202201-2410(CVE-2022-22587)CVE-2021-30983 iOS IOMobileFrameBuffer 修補不完善 CNNVD-202205-4277 (CVE-2022-30190)CVE-2021-40444 Windows CNNVD-202203
94、-2278(CVE-2022-1096)CVE-2016-5128 CVE-2021-30551 CVE-2022-1232 Chromium Property access interceptors 修補不完善 CNNVD-202204-3442(CVE-2022-1364)CVE-2021-21195 Chromium V8 CNNVD-202202-955 (CVE-2022-22620)2013 年修復,2016年重新引入 WebKit 修 補 后 代碼 回滾,漏洞重現 CNNVD-202203-541 (CVE-2021-39793)Linux 不同子系統中存在此漏洞 Google
95、Pixel CNNVD-202206-442 (CVE-2022-26134)CVE-2021-26084 Atlassian Confluence CNNVD-202205-2846(CVE-2022-26925)CVE-2021-36942 Windows PetitPotam 修 補 后 代碼 回滾,漏洞重現 27 四、四、漏洞防范及安全保障漏洞防范及安全保障對策建議對策建議 (一)(一)打造國家級網絡安全漏洞綜合運籌能力打造國家級網絡安全漏洞綜合運籌能力,加強漏洞管控統籌協調,提,加強漏洞管控統籌協調,提升漏洞資源共享共治水平升漏洞資源共享共治水平 一是強化制度要求。依據中央在網信領域
96、的總體部署和網絡安全法的基本要求,結合我國國情加強網絡安全漏洞管控制度建設,通過網絡安全審查等手段方式,加強網絡安全漏洞處置與應急響應、風險評估與態勢感知體系和能力的建設,提高關鍵信息基礎設施和重要信息系統的安全保障要求,落實廠商及運維相關部門的主體責任要求,科學合理落實網絡產品安全漏洞管理規定。二是加強統籌協調。進一步發揮 CNNVD 等國家級漏洞庫的信息聚合和服務作用,推動實施多方聯動的漏洞資源評估共享機制,提升對網絡安全漏洞的管控服務能力和共享共治水平,發揮漏洞資源應用效益的最大化,降低由于漏洞引發的基礎性風險。三是助力網絡安全保障。打造以“漏洞”為核心的網絡安全漏洞綜合運籌及安全保障支
97、撐能力。通過平臺建設、機制建設及資源匯聚共享,加大漏洞檢測、漏洞防護、漏洞消控等工具研發,實現服務國家網絡安全保障的現實需求。(二)建設國家級漏洞感知與預警機制,提升漏洞發現與處置能力建設國家級漏洞感知與預警機制,提升漏洞發現與處置能力 一是在漏洞發現方面,提升國家級的漏洞自主分析、挖掘和檢測能力。一方面通過建設專用的規?;┒捶治銎脚_,打造專業的漏洞挖掘分析人才隊伍,針對重要信息技術產品、系統開展超高危、高可利用 0day 漏洞的分析和挖掘。另一方面,鼓勵和支持安全檢測機構和社會力量圍繞我重要信息系統開展專門的漏洞分析和安全測試,及時掌握高危漏洞的最新動態。通過對未知漏洞的自主發現,一方面支
98、撐對我重要信息系統、關鍵基礎設施的網絡安全防護,另一方加強對網絡安全漏洞資源的管控,提升漏洞預警、處置能力水平。二是在漏洞情報采集方面,形成和自主漏洞挖掘的互補,做成漏洞的收集器、過濾器和富化器,提升漏洞情報的感知、獲取和預警能力。一方面應建立國家級 28 的漏洞情報信息感知和采集平臺,實現對一手漏洞數據源信息的實時采集和深度挖掘,保證漏洞情報的全面性和及時性;另一方面打造專業的漏洞分析人才隊伍,依據完善的流程和專業經驗對漏洞的影響面和技術細節進行研判,把真正重要的漏洞過濾出來,保證信息的準確性和預警處置的可靠性;第三,建立全面的多維漏洞信息整合及屬性標定,從利用、緩解、防護等角度,富化漏洞信
99、息,為進行漏洞處置提供支撐。三是在漏洞追蹤監測方面,提升系統化漏洞感知能力。一方面以軟硬件產品、開源及閉源組件等對象為核心,構建漏洞圖譜,開展漏洞追蹤及漏洞影響預測。另一方面,開展漏洞實時監測,實現對高隱蔽性、高復雜性網絡攻擊中漏洞信息的主動識別,尤其是對 APT 攻擊中漏洞的準確識別,形成漏洞威脅實時感知能力。四是在漏洞快速處置及應用方面,提升漏洞消控及防御保障能力,打贏漏洞攻防時間戰。目前,從漏洞信息公開到實際利用攻擊出現的間隔期越來越短,大多數時候攻防雙方是在時間戰中角逐。研究典型漏洞利用攻擊的快速反應技術和相關機制,結合國家網絡安全保障需求,形成有效的網絡安全漏洞主動防御能力。(三)(
100、三)積極推進積極推進 ICTICT 供應鏈安全治理,完善符合我國情的開源生態供應鏈安全治理,完善符合我國情的開源生態 一是在法律法規及標準規范方面,相關部門應根據我國 ICT 供應鏈的現狀有針對性地制定供應鏈安全治理相關規定,同時配套制定形成體系化的 ICT 供應鏈安全標準,從法律法規、標準體系等方面形成系統化的治理措施,為開展 ICT 供應鏈安全治理提供依據。二是在風險管控方面,監管部門應盡快指導建立關鍵基礎設施的 ICT 供應鏈臺賬,理清家底,查擺問題,預判風險。同時,ICT 供應鏈的供給側、需求方均需加強供應鏈安全管控,尤其是涉及關鍵技術設施運營的供需方,需開展 ICT 供應鏈安全審查、
101、評估和威脅監測,提升供應鏈韌性。三是在技術層面,通過技術手段開展 ICT 供應鏈安全檢測,對軟件成分、來源及安全漏洞進行準備分析和定位,針對 ICT 產品構建形成物料清單和構成圖譜,為關鍵 ICT 產品進行“精準畫像”,一方面提前預判風險,另一方面在威脅來臨時能夠快速處置。建立國家級供應鏈安全檢測及風險分析平臺,提升 ICT 供應鏈安全檢測的廣度和深度,及時對供應鏈安全風險進行預警。29 附件 20222022 年年上半上半年年明星明星漏洞回顧漏洞回顧 2022 年上半年,針對操作系統、開源組件、協同辦公軟件、云原生及虛擬化軟件、網絡設備、移動平臺等目標對象,均披露了多個具有較大影響的漏洞,并
102、在實際網絡攻擊中產生了較大的現實威脅。本報告對其中的 29 個明星關鍵漏洞進行了分析,主要情況如下。表 2022 年上半年關鍵漏洞信息 目標目標類型類型 受影響目標受影響目標 漏洞編號漏洞編號 威脅類型威脅類型 C CVSSVSS評分評分 漏洞威脅狀態漏洞威脅狀態 細節細節是否是否公開公開 PoCPoC 狀態狀態 EXPEXP 狀態狀態 在野在野 利用利用 操作系統及服務器 Windows Remote Desktop CNNVD-202203-691(CVE-2022-21990)代碼執行 8.8 是 已公開 未知 未知 Windows AD域 CNNVD-202205-2850(CVE-2
103、022-26923)權限提升 8.8 是 已公開 已公開 未知 Exchange Server CNNVD-202201-734(CVE-2022-21846)代碼執行 9.0 否 未知 未知 未知 CNNVD-202201-730(CVE-2022-21855)代碼執行 9.0 否 未知 未知 未知 CNNVD-202201-731(CVE-2022-21969)代碼執行 9.0 否 未知 未知 未知 HTTP 協議棧 CNNVD-202201-779(CVE-2022-21907)代碼執行 9.8 是 已公開 未知 未知 Windows RPC CNNVD-202204-3019(CVE-
104、2022-26809)代碼執行 9.8 是 未知 未知 未知 Windows Network File System CNNVD-202205-2781(CVE-2022-26937)代碼執行 9.8 是 已公開 未知 未知 Linux DirtyPipe CNNVD-202203-522(CVE-2022-0847)權限提升 7.8 是 已公開 已公開 未知 Linux Polkit CNNVD-202201-2343(CVE-2021-4034)權限提升 7.8 是 已公開 已公開 未知 開源組件 Apache Struts2 CNNVD-202204-3223(CVE-2021-3180
105、5)代碼執行 9.8 是 已公開 已公開 未知 Zabbix CNNVD-202201-2514(CVE-2021-46088)代碼執行 7.2 是 已公開 已公開 未知 協同辦公軟件 Windows MSDT CNNVD-202205-4277(CVE-2022-30190)代碼執行 7.8 是 已公開 已公開 已發現 MS SharePoint Server CNNVD-202202-580(CVE-2022-22005)代碼執行 9.0 否 未知 未知 未知 CNNVD-202205-2730(CVE-2022-29108)代碼執行 9.0 否 未知 未知 未知 Atlassian Co
106、nfluence CNNVD-202206-442(CVE-2022-26134)代碼執行 9.8 是 已公開 已公開 已發現 向日葵 CNVD-2022-10270 代碼執行 9.8 是 已公開 未知 已發現 釘釘 NA 代碼執行 8.8 是 已公開 未知 已發現 云原生及虛擬化 Apache APISIX CNNVD-202202-1030(CVE-2022-24112)代碼執行 9.8 是 已公開 已公開 未知 Spring CNNVD-202203-161代碼執行 8.0 是 已公開 已公開 已發現 30 Cloud Gateway(CVE-2022-22947)Splunk CNNV
107、D-202206-1484(CVE-2022-32158)代碼執行 9.0 是 已公開 未知 未知 VMware CNNVD-202205-3716(CVE-2022-22972)身份認證繞過 9.8 是 已公開 已公開 已發現 網絡設備及應用 F5 BIG-IP CNNVD-202205-2141(CVE-2022-1388)命令執行 9.8 是 已公開 已公開 未知 Zyxel 防火墻 CNNVD-202205-3104(CVE-2022-30525)命令執行 9.8 是 已公開 已公開 已發現 Trend Micro Apex Central CNNVD-202203-2508(CVE-
108、2022-26871)代碼執行 8.6 是 已公開 已公開 已發現 移動平臺 Apple IOMobileFrameBuffer CNNVD-202201-2410(CVE-2022-22587)權限提升 9.8 是 未公開 未公開 已發現 Apple Webkit CNNVD-202202-955(CVE-2022-22620)代碼執行 8.8 是 已公開 未公開 已發現 Google Android CNNVE-202206-590(CVE-2022-20130)代碼執行 9.8 否 未知 未知 未知 Google Pixel CNNVD-202203-541(CVE-2021-39793
109、)權限提升 7.8 否 未知 未知 已發現 31 1 操作系統及服務器關鍵漏洞回顧 1.1.1 1 Remote Desktop Client Remote Desktop Client 遠程代碼執行漏洞遠程代碼執行漏洞 漏洞簡介:漏洞簡介:遠程桌面是微軟公司為了方便網絡管理員管理維護服務器而推出的一項服務。遠程桌面客戶端允許用戶通過其他設備訪問開啟了遠程桌面功能的主機。如果遠程桌面客戶端存在漏洞,則會使運行遠程桌面客戶端的主機存在安全隱患。一個通用的攻擊場景是:當受害者使用易受攻擊的遠程桌面客戶端連接到攻擊服務器時,控制遠程桌面服務器的攻擊者可以在 RDP 客戶端計算機上執行任意代碼。攻擊者
110、可以破壞并控制用戶要登陸的遠程服務器,也可以誘導用戶連接惡意服務器。Remote Desktop Client 存在遠程代碼執行漏洞(CNNVD-202203-691),在微軟發布安全通告前,此漏洞 PoC 已在互聯網公開。危害描述:危害描述:當用戶使用遠程桌面客戶端連接惡意服務器并共享除 C 盤外的磁盤時容易受到此 PoC 的攻擊,成功利用此漏洞的攻擊者可在目標系統上以該用戶權限執行任意代碼。此漏洞影響 hyper-v、mstsc 等遠程桌面客戶端。1.1.2 2 Windows ADWindows AD 域權限提升漏洞域權限提升漏洞 漏洞簡介:漏洞簡介:Active Directory 域
111、服務(AD DS)是 Active Directory 中的核心組件,它存儲和管理連接到網絡的用戶、設備和服務信息,使用戶能夠對網絡上的資源進行身份驗證和訪問,常應用于企業級網絡內,是攻擊者進行滲透、橫向移動和數據泄露的一個關鍵目標。Active Directory 域權限提升漏洞(CNNVD-202205-2850)允許攻擊者在開啟了證書認證的域中,僅擁有普通用戶權限即可提升到域控權限,該漏洞于 2022 年 5 月 10日由國外安全研究員公開細節及利用 PoC,攻擊者可以修改擁有的賬戶創建的機器賬戶的 dNSHostName 屬性,之后使用這個機器賬戶申請認證機器證書即可得到域控權限的認證
112、證書,使用該證書進行身份驗證,成功利用該漏洞的攻擊者可以獲取到域控權限,從而完全控制域,微軟于 5 月微軟補丁日發布了該漏洞補丁。危害描述:危害描述:通過利用該漏洞攻擊者可以獲取到域內域控的權限,利用域控權限可以完全控制接入域內的服務器、電腦、打印機等,對企業網絡造成威脅。32 1.1.3 3 Microsoft Exchange Server Microsoft Exchange Server 遠程遠程代碼代碼執行漏洞執行漏洞 漏洞簡介:漏洞簡介:Microsoft Exchange Server 在全球擁有大量用戶,是企業和學術機構最常用的電子郵件服務器。其運行在 Windows Serv
113、er 上,使用 Active Directory 來存儲和共享目錄信息。作為最常用的電子郵件解決方案,Exchange Server 一直都是黑客的首要目標。如果黑客發起攻擊,可能導致用戶敏感數據泄露,給企業和用戶帶來重大損失。2022 年 1 月,Microsoft Exchange Server 公開了幾個遠程執行代碼漏洞,包括:CNNVD-202201-734、CNNVD-202201-730 以及 CNNVD-202201-731。其中,CNNVD-202201-734 被微軟標記為緊急漏洞,CNNVD-202201-730 和 CNNVD-202201-731 風險等級為重要。危害描
114、述:危害描述:由于沒有對用戶提供的輸入進行充分驗證,相鄰網絡中經過身份驗證的攻擊者可以向目標 Exchange 服務器發送特制數據來利用此漏洞,從而在目標系統上執行任意代碼,利用該漏洞無需用戶交互。1.1.4 4 HTTPHTTP 協議棧遠程代碼執行漏洞協議棧遠程代碼執行漏洞 漏洞簡介:漏洞簡介:HTTP 協議棧常見于應用之間或設備之間通信,以及 Internet Information Services(IIS)中。2022 年 1 月,微軟補丁日中出現了一枚影響廣泛的高危漏洞(CNNVD-202201-779),此漏洞無需身份交互以及用戶交互,且被微軟官方標記為 Wormable 和 Ex
115、ploitation More Likely,這意味著漏洞利用可能性很大且有可能被惡意攻擊者制作成可自我復制的蠕蟲病毒進行大規模攻擊。危害描述:危害描述:HTTP 存在遠程代碼執行漏洞,由于 HTTP 協議棧(HTTP.sys)中的 HTTP Trailer Support 功能中存在邊界錯誤導致緩沖區溢出。該漏洞允許未授權的遠程攻擊者通過向 Web 服務器發送一個特制的 HTTP 請求,觸發緩沖區溢出,從而在目標系統上執行任意代碼。目前,此漏洞細節及 PoC 已在互聯網公開。1.1.5 5 Windows Network File SystemWindows Network File Sys
116、tem 遠程遠程代碼代碼執行執行漏洞漏洞 漏洞簡介:漏洞簡介:網絡文件系統(NFS)是一種用于分布式文件共享的網絡協議,它定義了跨網絡從存儲設備存儲和檢索文件的方式。使用 NFS 協議可以在 Windows 計算機和其他非 Windows 操作系統(如 Linux 或 UNIX)之間傳輸文件。33 危害描述:危害描述:Windows Network File System 存在遠程代碼執行漏洞,漏洞編號為CNNVD-202205-2781。由于 Windows Network File System 對用戶提供的輸入的驗證不充分。遠程攻擊者可通過向 NFS 服務器發送特制數據包來利用此漏洞,從
117、而在目標系統上執行任意代碼。目前,此漏洞細節及 PoC 已在互聯網公開。1.1.6 6 Windows RPC Runtime Windows RPC Runtime 遠程代碼執行漏洞遠程代碼執行漏洞 漏洞簡介:漏洞簡介:Windows RPC 運行時系統是用于處理 RPC 機制網絡通信的例程和服務庫。在 RPC 調用過程中,客戶端和服務器端運行時系統用于處理綁定、建立通信、傳遞調用數據以及處理通信錯誤的場景。RPC Runtime 存在遠程代碼執行漏洞,由于該漏洞主要是 RPC Runtime 在處理網絡數據的過程中缺乏校驗,存在整數溢出問題,可允許攻擊者繞過后面的判斷邏輯進行越界讀寫。危害
118、描述:危害描述:Windows RPC Runtime 存在遠程代碼執行漏洞,攻擊者可通過向目標系統發送特制的 RPC 數據包來利用此漏洞,這可能會允許攻擊者在服務器端以與 RPC 服務相同的權限執行任意代碼。盡管此漏洞評分較高,但在默認配置下難以觸發,還需依賴于特定的環境,并且從越界讀寫到代碼執行的過程難以實現。1 1.7 7 Linux DirtyPipeLinux DirtyPipe 內核內核本地權限提升本地權限提升漏洞漏洞 漏洞簡介:漏洞簡介:管道是進程之間的單向數據流,一個進程寫入管道的所有數據都由內核路由到另一個進程,另一個進程可以從管道中讀取數據。Linux 內核存在未初始化變量
119、漏洞,在調用 copy_page_to_iter_pipe 函數的時候,沒有初始化 flags 變量,導致后面延用之前的頁面緩存時會使用之前設置的 flags 變量。攻擊者可以利用該漏洞覆蓋之前的頁面內存,從而實現本地權限提升。危害描述:危害描述:Linux 內核存在本地權限提升漏洞(CNNVD-202203-522)EXP 已公開,且利用難度低。當攻擊者獲取到 Linux 的普通權限用戶時,可以利用該漏洞進行本地權限提升,獲取到 root 權限。1 1.8 8 Linux Polkit Linux Polkit 本地權限提升漏洞本地權限提升漏洞 漏洞簡介:漏洞簡介:Polkit 是一個用于在
120、類 Unix 操作系統中控制系統范圍權限的組件,它為非特權進程與特權進程提供了一種通信方式。Polkit 中的 pkexec 應用程序旨在允許非特權用戶根據預定義的策略以特權用戶身份運行命令。Pkexec 不正確的處理 34 argc,當 argc=0 時存在 OOB,可以越界訪問到環境變量。攻擊者可以控制環境變量,導致本地權限提升。危害描述:危害描述:Linux Polkit 存在本地權限提升漏洞(CNNVD-202201-2343),該漏洞代碼已引入 13 年,影響幾乎所有的主流 Linux 操作系統。該漏洞 EXP 已公開,利用難度低。當攻擊者獲取到 Linux 的普通權限用戶時,可以利
121、用該漏洞進行本地權限提升,獲取到 root 權限。2 2 開源組件關鍵漏洞回顧開源組件關鍵漏洞回顧 2 2.1 1 Apache Struts2Apache Struts2 遠程代碼執行漏洞遠程代碼執行漏洞 漏洞簡介:漏洞簡介:Apache Struts 是最早的基于 MVC 模式的輕量級 Web 框架,它能夠合理劃分代碼結構,并包含驗證框架、國際化框架等多種實用工具框架。Struts2 是在Struts1 和 WebWork 技術的基礎上進行合并后的全新框架。歷史上 Apache Struts2 曝出很多遠程代碼執行漏洞,而 CNNVD-202204-3223(S2-62)是其前一個漏洞 S
122、2-61 的繞過,時隔一年左右的時間,同樣是 OGNL 表達式注入漏洞。在某些標簽中若后端通過%.形式對其屬性進行賦值,則將對 OGNL 表達式進行二次解析,從而執行惡意代碼。危害描述:危害描述:Apache Struts2 歷史漏洞幾乎均為 OGNL 表達式注入導致遠程代碼執行漏洞,攻擊者發送特定請求則可執行代碼。同時 Apache Struts 官方發布該漏洞通告時表明不再接收由未經驗證的用戶輸入引起的 OGNL 表達式二次解析問題。這給我們以警醒,開發人員應嚴格控制用戶輸入。2 2.2 2 ZabbixZabbix 遠程代碼執行漏洞遠程代碼執行漏洞 漏洞簡介:漏洞簡介:Zabbix 是一
123、個基于 WEB 界面的提供分布式系統監視以及網絡監視功能的企業級的開源解決方案。Zabbix 能監視各種網絡參數,保證服務器系統的安全運營;并提供靈活的通知機制以讓系統管理員快速定位/解決存在的各種問題。Zabbix 存在遠程代碼執行漏洞(CNNVD-202201-2514)。任何具有“Zabbix Admin”角色的用戶都可以在對應 Server 服務器上運行自定義 shell 腳本。攻擊者可通過該漏洞在 Agent 中執行任意代碼并獲取權限。危 害 描 述:危 害 描 述:該 漏 洞 觸 發 需 要”Zabbix Admin”權 限,當 Agent 配 置 35 EnableRemoteC
124、ommand=1 或AllowKey=system.run*時(該場景較為常見),通過在Server 端添加 item key,創建 action 并在 command 處配置惡意代碼、創建 trigger觸發 action 執行惡意代碼,該漏洞雖然利用難度較高,但若管理員身份憑證泄漏,那么將影響企業中所有部署 Zabbix Agent 的服務器,影響面極其廣泛。3 3 協同辦公軟件關鍵漏洞回顧協同辦公軟件關鍵漏洞回顧 3.3.1 Microsoft Windows 1 Microsoft Windows 支持診斷工具支持診斷工具 (MSDT)(MSDT)遠程代碼執行漏洞遠程代碼執行漏洞 漏洞
125、簡介:漏洞簡介:MSDT(Microsoft Support Diagnostics Tool,Microsoft 診斷故障排除向導)用于排除故障并收集診斷數據以支持專業人員分析以解決問題。2022 年 5 月 30 日,微軟緊急公開了已被用于野外攻擊的 Microsoft Windows 支持診斷工具(MSDT)遠程代碼執行漏洞。Microsoft Windows 支持診斷工具(MSDT)存在代碼執行漏洞,在執行 MSDT 程序時可通過指定特定參數來注入 PowerShell 代碼,從而造成代碼執行。危害描述:危害描述:在野利用的樣本以 Word 等應用程序中的遠程模板功能作為跳板,使其調用
126、 MSDT 程序處理來自惡意服務器的特制 HTML 文件中的特制ms-msdtURI 來觸發此漏洞,從而允許攻擊者以該用戶權限在目標系統上執行任意代碼。此漏洞的遠程利用場景需要用戶交互,攻擊者需要利用某些手段來誘導用戶打開特制文件。此漏洞已經被檢測出在野利用,且披露時為 0day 狀態,迫于漏洞的影響力及關注度,微軟發布了緊急通告給出了相應緩解措施,并靜默推送了 Office 2019、Office 2021 以及 Office 365 的 5 月版本,阻斷了 Word 程序解析 ms-msdt 協議的過程,從而在一定程度緩解了漏洞,該漏洞最終于 6 月補丁日修復。3.3.2 Microsof
127、t SharePoint Server2 Microsoft SharePoint Server 遠程執行代碼漏洞遠程執行代碼漏洞 漏洞簡介:漏洞簡介:Microsoft SharePoint Server 是由微軟提供的用以提供基本的門戶網站和企業內網功能的軟件。超過 200,000 個組織和 1.9 億人將 SharePoint 用于 Intranet、團隊網站和內容管理。2022 年上半年,Microsoft SharePoint Server 公開了多個遠程執行代碼漏洞,其中,CNNVD-202202-580 和 CNNVD-202205-2730 被微軟標記為“Exploitatio
128、n More Likely”。危害描述:危害描述:這些漏洞允許經過身份驗證的用戶在目標服務器上以 SharePoint Web 36 服務帳戶權限執行任意代碼。攻擊者需要擁有創建頁面的權限才能利用此漏洞,默認情況下,經過身份驗證的用戶能夠創建自己的站點,在這種情況下,用戶將擁有所有必要的權限。3 3.3 3 Atlassian Atlassian ConfluenceConfluence 遠程代碼執行漏洞遠程代碼執行漏洞 漏洞簡介:漏洞簡介:Atlassian Confluence 是一個專業的企業知識管理與協同軟件,也可以用于構建企業 wiki。Atlassian Confluence Se
129、rver 及 Confluence Data Center中曝出嚴重的遠程代碼執行漏洞。未經身份驗證的遠程攻擊者通過注入 OGNL 表達式從而執行任意代碼,利用極其簡單。該漏洞在 6 月 2 日發布時尚未修復,影響所有Confluence Server 及 Data Center 版本,且已發現在野利用。截至 6 月 3 日,官方發布的補丁和臨時解決方案均可用。危害描述:危害描述:Atlassian Confluence 在去年 8 月份曝出一 OGNL 表達式注入漏洞,漏洞評級為嚴重。同樣是由于 OGNL 表達式注入引起,今年的漏洞,任意用戶僅通過發送一條 HTTP GET 請求即可在目標服
130、務器上 RCE,獲取服務器權限。由于漏洞利用難度極低,之后披露出多起攻擊事件均利用此漏洞進行攻擊。3.3.4 4 向日葵遠程代碼執行漏洞向日葵遠程代碼執行漏洞 漏洞簡介:漏洞簡介:向日葵遠程控制軟件是一款免費的集遠程控制電腦手機、遠程桌面連接、遠程開機、遠程管理、支持內網穿透的一體化遠程控制管理工具軟件。隨著遠程辦公人數的增加,越來越多的員工通過該軟件遠程操控公司中的電腦,同時,也帶來了許多安全問題。2022 年 2 月,向日葵遠程控制軟件 Windows 版本遠程命令執行漏洞公開時已發現在野利用,遠程攻擊者可以在未授權情況下獲取到對應機器的 CID,然后可通過該 CID 構造特殊請求在目標機
131、器上執行任意命令。危害描述:危害描述:由于部分企業的安全意識不足,將向日葵的接口主動曝露在公網,在漏洞公開后,很多企業受到了攻擊,包括挖礦、勒索、僵尸網絡等,且漏洞影響的對應版本不能通過自動升級的方式進行軟件升級,導致的后果是給了不法分子更充足的時間進行惡意攻擊,從而使企業遭受更大的損失。3.3.5 5 釘釘遠程代碼執行漏洞釘釘遠程代碼執行漏洞 漏洞簡介:漏洞簡介:釘釘(DingTalk)是阿里巴巴集團專為中小企業打造的溝通和協同的 37 多端平臺。釘釘因中小企業而生,幫助中小企業通過系統化的解決方案,全方位提升中小企業溝通和協同效率,自疫情爆發以來,釘釘在遠程辦公、線上授課等方面都有很多的應
132、用。2022 年 2 月,釘釘遠程代碼執行漏洞公開時已發現在野利用,攻擊者通過將惡意鏈接發送至受害者,誘使受害者點擊該鏈接,釘釘即會獲取惡意鏈接指向的網頁內容并用內置瀏覽器渲染,從而觸發漏洞,在受害者電腦上遠程執行代碼。危害描述:危害描述:通過該漏洞,攻擊者可將受害者的機器當作跳板機,用來攻擊企業內網,從而獲取企業內部數據,使企業遭受不必要的損失。4 4 云原生及虛擬化關鍵漏洞回顧云原生及虛擬化關鍵漏洞回顧 4.1 Apache APISIX4.1 Apache APISIX 遠程代碼執行漏洞遠程代碼執行漏洞 漏洞簡介漏洞簡介:Apache APISIX 是一個云原生、高性能、可擴展的微服務
133、API 網關,同時提供了多平臺解決方案,不但支持裸機運行,也支持集成在Kubernetes中。Apache APISIX 中默認啟用的 batch-requests 插件存在重寫 X-REAL-IP 標頭的風險,攻擊者可通過該漏洞繞過 Apache APISIX 數據平面的 IP 限制。在 Apache APISIX 默認配置下(啟用管理API,使用默認管理密鑰且未分配額外的管理端口),攻擊者可通過batch-requests 插件調用 Admin API 執行任意命令。危害描述:危害描述:Apache APISIX 遠程代碼執行漏洞源于 X-REAL-IP 頭限制繞過,最終在默認配置下導致服
134、務端執行任意代碼??此朴绊懹邢薜穆┒?,組合系統中其他弱功能點造成的影響卻不在預期范圍內,開發人員應重視系統中每一個弱點進行加固。4.2 Spring Cloud Gateway 4.2 Spring Cloud Gateway 遠程代碼執行漏洞遠程代碼執行漏洞 漏洞簡介:漏洞簡介:Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 構建的 API 網關,它旨在為微服務架構提供一種簡單、有效、統一的 API 路由管理方式。當使用 Spring Cloud Gateway 的應用程序啟用并公開 Actuator 端點時,遠程攻擊者可利用該
135、漏洞進行 SpEL 表達式注入攻擊,最終在目標服務器上執行任意代碼。危害描述:危害描述:EnemyBot 是一個基于多個惡意軟件代碼的僵尸網絡,它通過迅速增加對最近披露的網絡服務器、內容管理系統、物聯網和 Android 設備的關鍵漏洞的利用來擴大其影響范圍。該僵尸網絡于 3 月由 Securonix 的研究人員首次發現,在 4 份對 Fortinet 的新樣本進行分析時,發現 EnemyBot 已經集成了十幾種處理器架構的漏 38 洞,其中就包含 Spring Cloud Gateway 遠程代碼執行漏洞(CNNVD-202203-161)。除此之外,Sysrv-hello 挖礦僵尸網絡利用
136、此漏洞攻擊用戶服務器進行挖礦,嚴重影響正常用戶業務運轉。4.34.3 VMwareVMware 多個產品身份認證繞過漏洞多個產品身份認證繞過漏洞 漏洞簡介:漏洞簡介:VMware 是一家提供全球桌面到數據中心虛擬化解決方案的廠商,VMware Workspace ONE Access 是 VMware 公司開發的一款智能驅動型數字化工作空間平臺,通過 Workspace ONE Access 能夠隨時隨地在任意設備上輕松、安全地交付和管理任意應用。VMware vRealize Automation 是自動化部署方案云管平臺。VMware Cloud Foundation 是 VMware 公
137、司混合云平臺。vRealize Suite Lifecycle Manager 是 vRealize Suite 生命周期和內容管理平臺。VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 產品中存在影響本地域用戶的身份認證繞過漏洞,對 UI 具有網絡訪問權限的惡意攻擊者可能無需進行身份驗證即可獲得管理訪問權限。攻擊者通過修改 HOST 為偽造的HTTPS 服務器地址,從而繞過認證并獲取有效 cookie 進一步利用。危害描述:危害描述:在 VMware 發布相應更新后,網絡安全和基礎設施安全局(CISA)發布了
138、一項緊急指令,命令美國聯邦機構立即更新易受攻擊的 VMware 產品,甚至在必要時將其刪除。據統計存在潛在威脅的 VMware 設備多數被醫院、政府相關組織部門使用,由于此漏洞操縱相對簡單,攻擊者在漏洞披露的 48 小時內部署了大量的系統后門且植入了挖礦木馬。4.4 4.4 Splunk Enterprise Splunk Enterprise 遠程代碼執行漏洞遠程代碼執行漏洞 漏洞簡介:漏洞簡介:Splunk Enterprise 是機器數據的引擎。使用 Splunk 可收集、索引和利用所有應用程序、服務器和設備生成的快速移動型計算機數據。關聯并分析跨越多個系統的復雜事件。獲取新層次的運營可
139、見性以及 IT 和業務智能。Splunk Enterprise 部署服務器 9.0 之前的版本存在遠程代碼執行漏洞,允許客戶端將轉發器捆綁包通過該服務器部署到其他部署客戶端。危害描述:危害描述:使用部署服務器時,允許創建可由 Splunk 通用轉發器(SUF)代理或其他 Splunk Enterprise 實例(如重型轉發器)自動下載的配置包,這些配置包中允 39 許包含二進制文件,SUF 自動下載后會執行該二進制程序。默認情況下,SUF 代理在Windows 上以 SYSTEM 身份運行??刂屏送ㄓ棉D發器端點的攻擊者可利用該漏洞在訂閱部署服務器的所有其他通用轉發器端點上執行任意代碼。5 5
140、網絡設備及應用關鍵漏洞回顧網絡設備及應用關鍵漏洞回顧 5 5.1.1 F5 BIGF5 BIG-IP IP 命令執行漏洞命令執行漏洞 漏洞簡介:漏洞簡介:F5 BIG-IP 是美國 F5 公司的一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。iControl REST 是 iControl 框架的演變,這允許用戶與 F5 設備之間進行輕量級、快速的交互。F5 BIG-IP iControl REST 存在命令執行漏洞(CNNVD-202205-2141)。該漏洞允許遠程未經身份驗證的攻擊者繞過 iControl REST 服務身份驗證訪問內部敏感服務,通過命令注入將惡意
141、命令注入到執行的命令行中,進而執行任意命令,該漏洞 PoC 及在野利用事件于 2022 年 5 月 10 日公開。危害描述:危害描述:未經身份驗證的遠程攻擊者可以向 F5 BIG-IP iControl 注入操作系統命令,在 F5 BIG-IP iControl 上執行惡意命令,從而控制 F5 BIG-IP,而 F5 BIG-IP 常用于企業級網絡中,攻擊者借此可以入侵企業網絡,進行橫向移動、深度滲透等危害行為。5 5.2.2 Zyxel Zyxel 防火墻遠程命令執行漏洞防火墻遠程命令執行漏洞 漏洞簡介:漏洞簡介:在 zyxel 的 ATP 系列、VPN 系列和 USG FLEX 等系列的防
142、火墻通常用于小型公司和機構中,提供 VPN 解決方案、SSL 檢查、Web 過濾、入侵保護和電子郵件安全等功能。在這些系列的防火墻中存在命令注入漏洞,遠程攻擊者可以利用該漏洞在未登錄情況下向防火墻注入惡意命令,通過 nobody 權限執行惡意命令。攻擊者向 HTTP 接口內的 mtu 參數通過 shell 元字符注入惡意命令,從而造成遠程命令執行。危害描述:危害描述:攻擊者在無需登錄情況下即可利用漏洞在受影響的防火墻上遠程執行命令,可以利用該漏洞反彈 shell、下載惡意模塊等,由于防火墻是邊界設備,一旦防火墻遭受威脅,內部脆弱的網絡系統也將受到外部攻擊者的威脅,利用該漏洞僅需向特定 HTTP
143、 接口注入命令即可,利用簡單穩定,極大方便了攻擊者利用。Zyxel 于 2022 年 4 月 28 日發布了該漏洞的補丁,一定程度上緩解了此漏洞利用。40 5 5.3.3 Trend Micro Apex CentralTrend Micro Apex Central 遠程代碼執行漏洞遠程代碼執行漏洞 漏洞簡介:漏洞簡介:Trend Micro Apex Central 是一個中央管理控制臺,透過策略管理功能,管理員可以進行產品設置并將其部署到受管理的終端。在 Trend Micro Apex Central中存在任意文件上傳漏洞,遠程攻擊者可以利用該漏洞上傳任意文件到Trend Micro
144、Apex Central 中,并造成遠程代碼執行,植入 webshell。需要注意的是目前已監測到有攻擊組織利用該漏洞攻擊東南亞某些組織。危害描述:危害描述:該漏洞利用復雜度低,且不需要權限即可上傳任意文件到 Trend Micro Apex Central 造成遠程代碼執行并部署 webshell 到服務器,而 Trend Micro Apex Central 可以管理受控的終端,一旦失陷將造成極大危害。6 6 移動平臺關鍵漏洞回顧移動平臺關鍵漏洞回顧 6 6.1.1 AppleApple IOMobileFrameBufferIOMobileFrameBuffer 權限提升權限提升漏洞漏洞
145、 漏洞簡介:漏洞簡介:Apple 在 1 月底發布安全通告修復存在于內核中的 0day 漏洞,該漏洞存在于 iOS,iPadOS 及 macOS 中,該漏洞是由于 Apple 十二月修復的 Apple IOMobileFrameBuffer 權限提升漏洞沒有完全修復。危害描述:危害描述:攻擊者可以制作一個惡意應用程序,受害者安裝后,攻擊者可以在受害者設備以內核權限執行任意代碼,從而獲取到未授權的受害者設備信息,比如通訊錄,照片,視頻等等。6 6.2.2 A Apple WebKit pple WebKit 釋放后重用漏洞釋放后重用漏洞 漏洞簡介:漏洞簡介:Apple 在 2 月份發布通告修復一
146、存在于 WebKit 瀏覽器引擎中的 0day漏洞,這是 Apple 繼 CVE-2022-22587、CVE-2022-22594 后第二次發布 0day 漏洞補丁。Apple 系統中所有瀏覽器都基于 WebKit 瀏覽器引擎開發,故 Apple WebKit 釋放后重用漏洞影響 iOS、iPadOS 及 macOS 中所有的瀏覽器,利用該漏洞需請求惡意鏈接,成功利用此漏洞可能在受害者機器上執行任意代碼。危害描述:危害描述:Apple WebKit 釋放后重用漏洞最初在 2013 年已完全修復,但在 2016年代碼重構時重新引入該漏洞,最終于今年初官方發布通告披露在野利用。我們雖然不知道此漏
147、洞在野外被利用的時長,但從 2016 年底到 2022 年初該漏洞已存在約 5 年時間。41 6 6.3 3 Google Android Google Android 遠程代碼執行漏洞遠程代碼執行漏洞 漏洞簡介:漏洞簡介:Google Android 是 Google 以 Apache 免費開放源代碼許可證的授權方式開源的基于 Linux 內核的移動操作系統,主要使用于移動設備,如智能手機和平板電腦。該漏洞存在于媒體編碼器組件中,在 tpdec_lib.cpp 中由于堆溢出,可能導致越界寫入,未經身份驗證的遠程攻擊者可以利用該漏洞在目標系統上執行任意代碼,且無需用戶交互。危害描述:危害描述:
148、Google Android 遠程代碼執行漏洞利用無需用戶交互,且可遠程利用,利用方式簡單,難度低,場景廣泛,通過利用該漏洞攻擊者可以控制目標系統。6 6.4 4 Google PixelGoogle Pixel 本地權限提升漏洞本地權限提升漏洞 漏洞簡介:漏洞簡介:Google Pixel/Pixel XL 是 Google 推出的 Android 手機系列,搭載著原生的安卓系統。在 Mali GPU 內核驅動里面,存在越界寫入漏洞,擁有普通權限的攻擊者可以利用該漏洞在目標系統上提升權限到 ROOT。危害描述:危害描述:Google Pixel 本地權限提升漏洞的利用無需用戶交互,利用方式簡單,難度低,場景廣泛,通過利用該漏洞攻擊者可以提升用戶權限。值得注意的是該漏洞存在在野利用。