最常被利用的漏洞

2020 年，网络攻击者很容易利用最近披露的漏洞来破坏未打补丁的系统。根据提供给美国政府的可用数据，2020 年的大多数主要漏洞都是在过去两年中披露的。网络攻击者在 2020 年利用最近披露的软件缺陷可能部分源于 COVID-19 大流行期间远程工作选项的扩展。远程工作选项（例如虚拟专用网络 (VPN) 和基于云的环境）的快速转变和越来越多的使用可能会给努力维护和跟上常规软件修补步伐的网络防御者带来额外的负担。 2020 年最有针对性的漏洞中有四个影响了远程工作、VPN 或基于云的技术。许多 VPN 网关设备在 2020 年仍未打补丁，远程工作选项的增长挑战了组织进行严格补丁管理的能力。 CISA、ACSC、NCSC 和 FBI 认为表 1 中列出的漏洞是 2020 年网络攻击者最常利用的 CVE。2021 年，恶意网络攻击者继续瞄准外围设备中的漏洞。 2021 年被高度利用的漏洞包括 Microsoft、Pulse、Accellion、VMware 和 Fortinet 中的漏洞。 CISA、ACSC、NCSC 和 FBI 评估全球公共和私人组织仍然容易受到利用这些 CVE 的危害。恶意网络攻击者很可能会继续使用较旧的已知漏洞，例如影响 Microsoft Office 的 CVE-2017-11882，只要它们仍然有效且系统未打补丁。攻击者对已知漏洞的使用使归因复杂化，降低了成本，并最大限度地降低了风险，因为他们没有投资开发专供其使用的零日漏洞，如果它被发现，他们就有失去的风险。鼓励组织尽快修复或减轻漏洞，以降低被利用的风险。大多数可以通过修补和更新系统来修复。尚未修复这些漏洞的组织应调查 IOC 的存在，如果受到损害，则启动事件响应和恢复计划。请参阅下面的联系信息部分，了解如何联系 CISA 报告事件或请求技术帮助。 CISA、ACSC、NCSC 和 FBI 已确定以下为 2020 年以来恶意网络攻击者利用最多的漏洞：CVE-2019-19781、CVE-2019-11510、CVE-2018-13379、CVE-2020-5902、CVE -2020-15505、CVE-2020-0688、CVE-2019-3396、CVE-2017-11882、CVE-2019-11580、CVE-2018-7600、CVE 2019-18935、CVE-06204 0787、CVE-2020-1472。[1][2][3] 根据美国政府的技术分析，在这些漏洞中，CVE-2019-19781 是 2020 年被利用最多的漏洞。CVE-2019-19781 是最近披露的Citrix 的应用程序交付控制器 (ADC) 中的关键漏洞 - 一种用于在美国广泛使用的 Web、应用程序和数据库服务器的负载平衡应用程序。[4][5] 国家和犯罪网络参与者最有可能喜欢使用此漏洞，因为它很容易被利用，Citrix 服务器很普遍，而且利用可以使参与者在目标系统上执行未经授权的 RCE。 [6]

在 2020 年初被确定为新兴目标，[7] 未修复的 CVE-2019-19781 和 CVE-2019-11510 实例全年继续被利用这些和其他漏洞的民族国家高级持续威胁参与者 (APT) 所利用，例如 CVE-2018-13379[8][9]，在 VPN 服务中 [10][11] 危害一系列组织，包括参与 COVID-19 疫苗开发的组织。[12][13] CVE-2019 Pulse Connect Secure VPN 中的 -11510 漏洞也经常成为民族国家 APT 的目标。攻击者可以利用该漏洞窃取受感染 Pulse VPN 服务器上所有用户的未加密凭据，并为受感染 Pulse VPN 服务器上的所有用户保留未经授权的凭据，并且可以在系统修补后保留未经授权的访问，除非更改所有受感染的凭据。国家级 APT 还普遍利用 CVE-2020-15505 和 CVE-2020-5902。[14][15][16][17] 2021 年，网络攻击者继续瞄准外围设备中的漏洞。除了上面列出的 2020 CVE 之外，组织还应优先修补以下已知被利用的 CVE。 Microsoft Exchange：CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 和 CVE-2021-27065 有关识别和缓解与这些漏洞相关的恶意活动的更多信息，请参阅 CISA 的警报：缓解 Microsoft Exchange Server 漏洞。 Pulse Secure：CVE-2021-22893、CVE-2021-22894、CVE-2021-22899 和 CVE-2021-22900 有关如何调查和缓解此恶意活动的更多信息，请参阅 CISA 的警报：利用 Pulse Connect 安全漏洞。 Accellion：CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104 有关技术细节，请参阅澳大利亚-新西兰-新加坡-英国-美国联合网络安全公告：Accellion 文件传输设备的利用和缓解措施。 VMware：CVE-2021-21985 有关详细信息和指导，请参阅 CISA 的当前活动：未修补的 VMware vCenter 软件。

Fortinet：CVE-2018-13379、CVE-2020-12812 和 CVE-2019-5591 请参阅 CISA-FBI 联合网络安全公告：APT 攻击者利用漏洞获得未来攻击的初始访问权限，了解更多详细信息和缓解措施。缓解许多漏洞的最有效的最佳实践之一是在补丁可用后尽快更新软件版本。如果这不可能，请考虑应用临时解决方法或其他缓解措施（如果供应商提供）。如果组织无法在补丁发布后不久更新所有软件，则优先为已知被利用的 CVE 或可被最大数量的潜在攻击者（例如面向互联网的系统）访问的 CVE 实施补丁。此公告重点介绍了应作为优先级流程的一部分考虑的漏洞。为了进一步协助修复，应尽可能启用自动软件更新。将稀缺的网络防御资源集中在修补网络参与者最常使用的漏洞上，可以在阻碍我们对手的行动的同时加强网络安全。例如，2020 年的民族国家 APT 广泛依赖于在 Atlassian Crow 中发现的单个 RCE 漏洞，这是一个集中身份管理和应用程序 (CVE-2019-11580) 在其报告的操作中。一致关注修补此漏洞可能会通过迫使参与者寻找替代方案而产生相对广泛的影响，而替代方案可能对其目标集没有同样广泛的适用性。此外，攻击者通常会利用弱身份验证过程，尤其是在面向外部的设备中。组织应该需要多因素身份验证才能从外部来源远程访问网络，尤其是对于管理员或特权帐户。表 2-14 提供了更多关于 2020 年最常被利用的 CVE 的详细信息和具体缓解措施。 注意：与下面每个 CVE 对应的关联恶意软件列表并非详尽无遗，而是旨在识别通常关联的恶意软件家族利用 CVE。漏洞描述 Citrix Netscaler 应用交付控制 (ADC) 由于访问控制不佳而容易受到 RCE 和整个系统的攻击，从而允许目录遍历。

缺乏足够的访问控制允许攻击者为易受攻击的代码枚举系统目录（目录遍历）。在这种情况下，Citrix ADC 维护一个易受攻击的 Perl 脚本 (newbm.pl)，当通过 HTTP POST 请求 (POST https://$TARGET/vpn/../vpn/portal/scripts/newbm.pl) 访问时，允许要执行的本地操作系统 (OS) 命令。攻击者可以使用此功能使用嵌入式命令（例如 curl、wget、Invoke-WebRequest）上传/执行命令和控制 (C2) 软件（webshel​​l 或反向 shell 可执行文件），并获得对操作系统的未授权访问。根据供应商概述的漏洞详细信息实施适当的刷新版本：Citrix：CVE-2019-19781 的缓解步骤 如果可能，仅允许 VPN 与已知的 Internet 协议 (IP) 地址（允许列表）进行通信。 CISA为此漏洞开发了免费检测工具：cisagov/check-cve-2019-19781：测试主机对CVE-2019-19781的敏感性。 Nmap 开发了一个可与端口扫描引擎一起使用的脚本：CVE-2019-19781 - Citrix ADC Path Traversal #1893。 Citrix 还开发了一个免费工具，用于检测与 CVE-2019-19781 相关的 Citrix ADC 设备的危害：Citrix / CVE-2019-19781: IOC Scanner for CVE-2019-19781。 CVE-2019-19781 通常被用来安装 web shell 恶意软件。美国国家安全局 (NSA) 在 https://media.defense.gov/2020/Jun/09/2002313081/-1/-1/0/CSI-DETECT-AND-PREVENT 上提供有关检测和预防 Web Shell 恶意软件的指南-WEB-SHELL-MALWARE-20200422.PDF 和 https://github.com/nsacyber/Mitigating-Web-Shells 上的签名。

漏洞说明 Pulse Secure Connect 容易受到未经身份验证的任意文件泄露。攻击者可以利用此漏洞访问管理凭据。漏洞讨论、IOC 和恶意软件活动 不正确的访问控制允许目录遍历，攻击者可以利用该目录遍历来读取系统文件的内容。例如，攻击者可以使用诸如 https://sslvpn.insecure-org.com/dana-na/../dana/html5/acc/guacmole/../../../../ 之类的字符串../../etc/passwd?/dana/html5/guacamole/ 从系统获取本地密码文件。攻击者还可以在浏览器中获取管理会话数据和重放会话令牌。一旦受到攻击，攻击者就可以在连接到 VPN 的任何主机上运行任意脚本。这可能导致任何连接到 VPN 的人成为潜在的妥协目标。建议的缓解措施 创建检测/保护机制，以响应目录遍历 (/../../../) 尝试读取本地系统文件。检测方法 CISA 开发了一个工具来帮助确定 IOC 是否存在于 CVE-2019-11510 的 Pulse Secure VPN 设备的日志文件中：cisagov/check-your-pulse。 Nmap 开发了一个可以和端口扫描引擎一起使用的脚本：http-vuln-cve2019-11510.nse #1708。易受攻击的技术和版本 8.2R12.1 之前的 Pulse Secure Pulse Connect Secure (PCS) 8.2、8.3R7.1 之前的 8.3 和 9.0R3.4 之前的 9.0 易受攻击。漏洞描述 Fortinet 安全套接字层 (SSL) VPN 容易受到未经身份验证的目录遍历，这允许攻击者访问 sslvpn_websession 文件。然后攻击者能够准确地获取明文用户名和密码。

漏洞讨论、IOC 和恶意软件活动 用户访问控制和 Web 应用程序目录结构的弱点允许攻击者在未经身份验证的情况下读取系统文件。攻击者可以执行 HTTP GET 请求 http://$SSLVPNTARGET?lang=/../../../..////////dev/cmdb/sslvpn_websession。这导致服务器以不可打印/十六进制字符以及明文凭据信息进行响应。多个恶意软件活动利用了此漏洞。最著名的是 Cring 勒索软件（也称为 Crypt3、Ghost、Phantom 和 Vjszy1lo）。建议的缓解措施 创建检测/保护机制，以响应目录遍历 (/../../../) 尝试读取 sslvpn_websessions 文件。检测方法 Nmap 开发了一个可以与端口扫描引擎一起使用的脚本：Fortinet SSL VPN CVE-2018-13379 vuln scan #1709。易受攻击的技术和版本 Fortinet FortiOS 6.0.0 至 6.0.4、5.6.3 至 5.6.7 和 5.4.6 至 5.4.12 易受攻击。漏洞描述 流量管理用户界面 (TMUI)，也称为配置实用程序，在未公开的页面中存在 RCE 漏洞。漏洞讨论、IOC 和恶意软件活动 此漏洞允许未经身份验证的攻击者或经过身份验证的用户通过网络访问配置实用程序（通过 BIG-IP 管理端口和/或自 IP）来执行任意系统命令、创建或删除文件、禁用服务并执行任意 Java 代码。此漏洞可能会导致系统完全受损。设备模式下的 BIG-IP 系统也容易受到攻击。这个问题在数据平面上没有暴露；只有控制平面受到影响。

建议的缓解措施 从供应商批准的资源下载并安装软件的固定软件版本。如果无法快速更新，请通过以下操作限制访问。易受攻击的技术和版本 BIG-IP（LTM、AAM、高级 WAF、AFM、分析、APM、ASM、DDHD、DNS、FPS、GTM、链路控制器、PEM、SSLO、CGNAT）15.1.0、15.0.0-15.0。 1、14.1.0-14.1.2、13.1.0-13.1.3、12.1.0-12.1.5和11.6.1-11.6.5易受攻击。 MobileIron Core & Connector、Sentry 以及监控和报告数据库 (RDB) 软件通过未指定的载体容易受到 RCE 的攻击。 CVE-2020-15505 是 MobileIron Core & Connector 10.3 及更早版本中的一个 RCE 漏洞。此漏洞允许没有特权的外部攻击者在易受攻击的系统上执行他们选择的代码。由于移动设备管理 (MDM) 系统对于外部设备的配置管理至关重要，因此它们通常获得高度许可并成为威胁参与者的重要目标。从供应商批准的资源下载并安装软件的固定软件版本。没有任何。手动检查您的软件版本以查看它是否容易受到此漏洞的影响。 MobileIron 核心和连接器版本 10.3.0.3 及更早版本、10.4.0.0、10.4.0.1、10.4.0.2、10.4.0.3、10.5.1.0、10.5.2.0 和 10.6.0.0； Sentry 版本 9.7.2 及更早版本和 9.8.0；监控和报告数据库 (RDB) 2.0.0.1 及更早版本容易受到攻击。

当软件无法正确处理内存中的对象时，Microsoft Exchange 软件中存在 RCE 漏洞。当服务器在安装时无法正确创建唯一密钥时，漏洞讨论、IOC 和恶意软件活动 CVE-2020-0688 存在于 Microsoft Exchange Server 中。知道验证密钥和邮箱的经过身份验证的用户可以传递任意对象以供以 SYSTEM 身份运行的 Web 应用程序进行反序列化。该安全更新通过更正 Microsoft Exchange 在安装期间创建密钥的方式来解决该漏洞。已经观察到一个民族国家 APT 参与者利用此漏洞对全球数百个政府和私营部门目标进行广泛、分布式和匿名的蛮力访问尝试。从供应商批准的资源下载并安装软件的固定软件版本。 CVE-2020-0688 通常被用来安装 web shell 恶意软件。 NSA 在 https://media.defense.gov/2020/Jun/09/2002313081/-1/-1/0/CSI-DETECT-AND-PREVENT-WEB-SHELL-MALWARE 提供有关检测和预防 Web Shell 恶意软件的指南-20200422.PDF 和 https://github.com/nsacyber/Mitigating-Web-Shells 上的签名。 Microsoft Exchange Server 2019 累积更新 3 和 4、2016 累积更新 14 和 15、2013 累积更新 23 和 2010 Service Pack 3 更新汇总 30 易受攻击。 Atlassian Confluence 服务器和数据中心小部件连接器容易受到服务器端模板注入攻击。

2018 年 6 月 18 日之前发布的 Confluence Server 和 Data Center 版本容易受到此问题的影响。远程攻击者能够利用 WebDAV 插件中的服务器端请求伪造 (SSRF) 漏洞从 Confluence 服务器或数据中心实例发送任意 HTTP 和 WebDAV 请求。成功的攻击能够利用此问题在易受攻击的系统上实现服务器端模板注入、路径遍历和 RCE。多个恶意软件活动利用了此漏洞；最著名的是 GandCrab 勒索软件。 CVE-2019-3396 通常被用来安装 web shell 恶意软件。 NSA 在 https://media.defense.gov/2020/Jun/09/2002313081/-1/-1/0/CSI-DETECT-AND-PREVENT-WEB-SHELL-MALWARE 提供有关检测和预防 Web Shell 恶意软件的指南-20200422.PDF 和 https://github.com/nsacyber/Mitigating-Web-Shells 上的签名。 Confluence Server 和 Confluence Data Center 6.6.12 之前的所有版本，6.12.3 之前的 6.7.0 版本（6.12.x 的固定版本），6.13.3 之前的 6.13.0 版本（6.13 之前的固定版本。 x)，以及从 6.14.0 版本到 6.14.2（6.14.x 的固定版本）之前的版本都存在漏洞。 Microsoft Office 容易出现内存损坏漏洞，攻击者无法正确处理内存中的对象，从而允许攻击者在当前用户的上下文中运行任意代码。它也被称为“Microsoft Office 内存损坏漏洞”。网络攻击者继续利用 Microsoft Office 中这个已有四年历史的漏洞，美国政府去年公开评估该漏洞是最常被攻击的目标。网络攻击者很可能会继续利用此漏洞，因为 Microsoft Office 的使用在全球范围内无处不在，该漏洞非常适合分阶段活动，并且可以在易受攻击的系统上启用 RCE。 Microsoft 公式编辑器是 Microsoft Office 的一个组件，它包含一个堆栈缓冲区溢出漏洞，该漏洞可在易受攻击的系统上启用 RCE。该组件于 2000 年 11 月 9 日编译。没有任何进一步的重新编译，它被用于所有当前支持的 Microsoft Office 版本。 Microsoft 公式编辑器是由 eqnedt32.exe 托管的进程外 COM 服务器，这意味着它作为自己的进程运行并且可以接受来自其他进程的命令。

数据执行预防 (DEP) 和地址空间布局随机化 (ASLR) 应防止此类攻击。但是，由于 eqnedt32.exe 的链接方式，它不会使用这些功能，从而允许代码执行。作为进程外 COM 服务器，特定于 Microsoft Office 的保护（例如 EMET 和 Windows Defender Exploit Guard）不适用于 eqnedt32.exe，除非在系统范围内应用。这为攻击者提供了一种诱使目标打开特制文档的途径，从而能够执行嵌入的攻击者命令。多个网络间谍活动利用了此漏洞。 CISA 已经注意到 CVE-2017-11882 被用来传播 LokiBot 恶意软件。要修复此问题，管理员应为此漏洞部署 Microsoft 补丁：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882。无法部署修补程序的用户应考虑禁用公式编辑器，如 Microsoft 知识库文章 4055535 中所述。Microsoft Defender Antivirus、Windows Defender、Microsoft Security Essentials 和 Microsoft Safety Scanner 都将检测并修补此漏洞。 Microsoft Office 2007 Service Pack 3、Microsoft Office 2010 Service Pack 2、Microsoft Office 2013 Service Pack 1 和 Microsoft Office 2016 易受攻击。 Atlassian Crowd 和 Crowd Data Center 在发布版本中错误地启用了 pdkinstall 开发插件。

可以向 Crowd 或 Crowd 数据中心实例发送未经身份验证或经过身份验证的请求的攻击者可以利用此漏洞安装任意插件，从而允许在运行易受攻击版本的 Crowd 或 Crowd 数据中心的系统上进行 RCE。 …………