五眼聯(lián)盟發(fā)布2022年12大網(wǎng)絡(luò)安全漏洞 微軟產(chǎn)品占1/3成重災(zāi)區(qū)

極客網(wǎng)·極客觀察8月9日 五眼聯(lián)盟（Five Eyes）——美國(guó)、英國(guó)、澳大利亞、加拿大和新西蘭的網(wǎng)絡(luò)安全機(jī)構(gòu)日前發(fā)布《2022年最常被利用的漏洞》報(bào)告，稱(chēng)2022年最常被利用的12個(gè)漏洞中，有三分之一存在于微軟公司的產(chǎn)品中。

報(bào)告還指出，發(fā)現(xiàn)未修補(bǔ)的舊漏洞是威脅行為者的最?lèi)?ài)，在被網(wǎng)絡(luò)攻擊者利用最多的12個(gè)漏洞中，超過(guò)一半是在2021年或更早發(fā)現(xiàn)的，一定程度表明人們并未從過(guò)去的事故中吸取足夠的教訓(xùn)。

7大漏洞是老面孔

報(bào)告發(fā)現(xiàn)，F(xiàn)ortinet FortiOS和FortiProxy漏洞是2022年網(wǎng)絡(luò)攻擊者利用率最高的漏洞，其次是Microsoft Exchange Server的三個(gè)漏洞、Zoho ManageEngine中的遠(yuǎn)程代碼執(zhí)行漏洞、Confluence Server和DataCen漏洞的代碼執(zhí)行漏洞，以及Apache的Log4j框架中的Log4Shell漏洞。

2022年最常被利用的12個(gè)漏洞列表 

FBI前網(wǎng)絡(luò)威脅分析師、KnowBe4現(xiàn)任高管Rosa Smothers說(shuō)，“網(wǎng)絡(luò)安全的基本原則之一是對(duì)影響軟件和設(shè)備的安全漏洞進(jìn)行良好的補(bǔ)丁管理，但最有趣的是，網(wǎng)絡(luò)安全機(jī)構(gòu)在2018年至2021年發(fā)現(xiàn)了這12大漏洞中的7個(gè)，這表明那些網(wǎng)絡(luò)安全方面仍然脆弱的組織顯然對(duì)威脅形勢(shì)漠不關(guān)心?！?br/>

Closed Door Security首席執(zhí)行官William Wright說(shuō)，“排名前12位的漏洞來(lái)自不同的供應(yīng)商，有一些非常古老，但這些都是網(wǎng)絡(luò)攻擊者致力尋找的漏洞。他們知道這些漏洞無(wú)處不在，可以很容易地運(yùn)行掃描來(lái)查找易受攻擊的服務(wù)器，因此能夠很輕易地利用這些漏洞。”

KnowBe4安全意識(shí)倡導(dǎo)者James McQuiggan解釋說(shuō)：“這個(gè)漏洞名單已經(jīng)成為網(wǎng)絡(luò)犯罪分子用來(lái)進(jìn)入組織網(wǎng)絡(luò)的武器庫(kù)的一部分。他們?cè)贓xchange、Fortinet或Apache（Log4j）等組織的外部網(wǎng)絡(luò)設(shè)備上掃描這些漏洞，如果出現(xiàn)就很容易受到攻擊。在這種情況下，組織在進(jìn)行修補(bǔ)漏洞之前，都會(huì)很容易地被網(wǎng)絡(luò)攻擊者侵入。”

不過(guò)，McQuiggan也強(qiáng)調(diào)了開(kāi)發(fā)人員在確保免受漏洞侵害方面的重要性。他說(shuō)，“雖然更新補(bǔ)丁很重要，但開(kāi)發(fā)人員必須確保盡快為已知漏洞提供補(bǔ)丁程序，以降低針對(duì)客戶的攻擊風(fēng)險(xiǎn)?！?/p>

雖然這適用于新的漏洞，但下游組織沒(méi)有理由修補(bǔ)漏洞方面松懈。Wright說(shuō)：“我給出的建議是，組織盡快針對(duì)這些漏洞測(cè)試他們的資產(chǎn)，然后在必要時(shí)應(yīng)用補(bǔ)丁?，F(xiàn)在已經(jīng)發(fā)布了這份漏洞名單，網(wǎng)絡(luò)攻擊者將盡可能多地利用這些漏洞。時(shí)間正在流逝，他們知道這一點(diǎn)。”

微軟處于風(fēng)暴中心 

除了上述12個(gè)漏洞，F(xiàn)iveEyes還揭示了另外30個(gè)漏洞，其中10個(gè)存在于微軟產(chǎn)品中?？傮w而言，在FiveEyes發(fā)現(xiàn)的42個(gè)漏洞中，有14個(gè)來(lái)自微軟產(chǎn)品。

在這份報(bào)告發(fā)布之前，美國(guó)參議員Ron Wyden向美國(guó)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全局（CISA）主任Jen Easterly發(fā)出了一封措辭嚴(yán)厲的信函。而美國(guó)司法部總檢察長(zhǎng)Merrick B.Garland和美國(guó)聯(lián)邦貿(mào)易委員會(huì)主席Lina Khan也就微軟在漏洞管理方面的行為發(fā)表了評(píng)論。

Wyden在信中寫(xiě)道，“我要求CISA采取行動(dòng)，讓微軟對(duì)其疏忽的網(wǎng)絡(luò)安全做法負(fù)責(zé)，這使得他國(guó)對(duì)美國(guó)政府成功實(shí)施了間諜活動(dòng)?！?/p>

Wyden在信中提到了外國(guó)的網(wǎng)絡(luò)間諜活動(dòng)，該活動(dòng)針對(duì)并損害了包括美國(guó)政府官員在內(nèi)的數(shù)百名美國(guó)人。Wyden繼續(xù)聲稱(chēng)微軟也要為大規(guī)模的SolarWinds攻擊負(fù)責(zé)，網(wǎng)絡(luò)攻擊者通過(guò)竊取加密密鑰和偽造微軟憑證獲得訪問(wèn)權(quán)限。 

在這封信函發(fā)出近一周后，Tenable董事長(zhǎng)兼CEO Amit Yoran也在LinkedIn上表達(dá)了他對(duì)微軟及其有害的混淆文化的不滿。Yora指出，谷歌零漏洞項(xiàng)目的一份報(bào)告中指出，微軟產(chǎn)品中的漏洞占2014年以來(lái)發(fā)現(xiàn)的所有零日漏洞的42.5%。

Yoran寫(xiě)道：“微軟在違規(guī)行為、不負(fù)責(zé)任的安全措施以及漏洞方面缺乏透明度，所有這些都讓他們的客戶面臨被故意蒙在鼓里的風(fēng)險(xiǎn)。”他列舉自己公司在2023年3月發(fā)現(xiàn)的兩個(gè)漏洞，微軟花了90天時(shí)間才推出部分修復(fù)程序。 

他說(shuō)，“這是一種重復(fù)的行為模式。一些安全公司已經(jīng)通知微軟修補(bǔ)漏洞，但微軟對(duì)漏洞給客戶帶來(lái)的風(fēng)險(xiǎn)仍持不屑一顧的態(tài)度。有時(shí)候，在Tenable通知微軟120天之后，出現(xiàn)的漏洞仍未完全解決。” 

“云計(jì)算提供商長(zhǎng)期以來(lái)一直支持共同責(zé)任模式。如果組織的云計(jì)算提供商沒(méi)有在問(wèn)題出現(xiàn)時(shí)通知并提供應(yīng)用修復(fù)程序，那么這個(gè)模型就會(huì)不可挽回地崩潰。微軟產(chǎn)品的漏洞讓我們所有人都處于危險(xiǎn)之中。而且情況比我們想象的還要糟糕。”Yoran強(qiáng)調(diào)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。