2024年最常被利用的十大漏洞

最新推荐文章于 2024-06-05 18:37:25 发布

披荆斩棘的GG

最新推荐文章于 2024-06-05 18:37:25 发布

阅读量1.2k

点赞数 22

分类专栏：网络安全 Web安全文章标签： web安全学习网络

本文链接：https://blog.csdn.net/Button12138/article/details/139040458

版权

网络安全同时被 2 个专栏收录

611 篇文章

订阅专栏

Web安全

161 篇文章

订阅专栏

2022年最常被利用的十大漏洞
黑客攻击变得一年比一年高级和复杂，因此现在追踪了解安全漏洞比以往任何时候都来得重要。本文着重介绍了2022年恶意威胁分子利用的一些最危险的漏洞。

1. Follina（CVE- 2022 – 30190）

CVE-2022-30190（非正式名称为“Follina”）在2022年5月被披露，它是微软Windows支持诊断工具（MSDT）中的一个远程代码执行漏洞，允许远程攻击者在目标系统上执行任意shell命令。

自从该漏洞被公开披露以来，安全研究人员观察到多起涉及利用该漏洞的案例，包括与俄罗斯政府有关的威胁分子（Sandworm、UAC-0098和APT28）针对乌克兰的组织和政府机构发起的多次网络钓鱼攻击，旨在用窃取信息的恶意软件感染受害者，以及针对欧美政府的网络间谍活动。Follina漏洞还被用来植入远程访问工具，比如Qbot和AsyncRAT，并在Windows系统上部署后门。

2. Log4Shell（CVE- 2021 – 44228）

尽管Log4Shell漏洞在2021年底才被披露，但它在最常被利用的漏洞排行榜中依然名列前茅，仍然是网络犯罪分子在地下论坛上最常讨论的漏洞之一。

CVE-2021-44228是一款广受欢迎的Apache Log4j开源日志实用程序中的远程代码执行漏洞。如果威胁分子利用了该漏洞，就可以向受影响的系统发送一个特别精心设计的命令，执行恶意代码，并操控受害者的机器。自2021年12月以来，现已修复的Log4Shell漏洞一直被多个威胁分子大肆利用，从加密货币挖矿软件、DDoS僵尸网络、勒索软件团伙和初始访问代理，到与伊朗、朝鲜和土耳其政府有关联的政府撑腰的黑客，不一而足。

最近，有人观察到威胁分子使用Log4Shell在未打补丁的、面向公众的VMware Horizon和Unified Access Gateway（统一接入网关）服务器上部署恶意软件。

3. Spring4Shell（CVE- 2022 – 22965）

CVE-2022-22965（Spring4Shell或SpringShell）是来自VMware的一种广泛使用的开源Java框架Spring Framework中的远程代码执行漏洞，以上面提到的Log4Shell漏洞命名。一旦攻击者实现了远程代码执行，就可以安装恶意软件，或者利用受影响的服务器作为初始立足点，以提升权限，进而攻击整个系统。

虽然Spring4Shell不像Log4Shell那么普遍，也不容易被利用，但众多组织不应该轻视该漏洞，因为它已经变成了网络犯罪分子手里的武器，用于部署加密货币挖矿软件，并且用在了使用臭名昭著的Mirai恶意软件的僵尸网络。

4. F5 BIG-IP（CVE-2022-1388）

CVE-2022-1388于2022年5月首次被披露，是另一个值得关注的严重漏洞。该漏洞影响F5 BIG-IP软硬件套件中的BIG-IP iControl REST身份验证组件；一旦被利用，允许未经身份验证的攻击者以“root”权限在BIG-IP网络设备上执行命令。在过去的几个月里，研究人员发现了旨在擦除设备内容或投放web shell恶意脚本的多起攻击企图利用该漏洞。

5. 谷歌Chrome零日漏洞（CVE-2022-0609）

现已得到修补的CVE-2022-0609是谷歌Chrome的动画组件中的远程代码执行漏洞，两起独立的与朝鲜有关的黑客活动（名为“Operation Dream Job”和“Operation AppleJeus”）利用了该漏洞，这两起黑客活动攻击美国的媒体、IT、加密货币和金融技术等行业的多家组织。

6. 微软Office漏洞（CVE-2017-11882）

古老的微软Office远程代码执行漏洞（CVE-2017-11882）于2017年首次被披露，至今仍是黑客论坛上最热议的漏洞之一。虽然微软在近五年前就发布了CVE-2017-11882的官方补丁，但许多组织依然没有打上补丁，这给企图趁虚而入的网络犯罪分子提供了可趁之机。在最近的一个案例中，威胁分子利用这个未打补丁的漏洞来部署SmokeLoader恶意软件，以便投放其他恶意软件，比如TrickBot。

7. ProxyNotShell（CVE-2022-41082和CVE-2022-41040）

ProxyNotShell指两个分别被编号为CVE-2022-41082和CVE-2022-41040的高危漏洞，允许访问PowerShell Remoting的远程用户在易受攻击的Exchange系统上执行任意代码或执行SSRF攻击。这两个漏洞于2022年9月首次被披露，据称被黑客利用了数月。微软证实，黑客们利用ProxyNotShell漏洞，在被攻击的Exchange服务器上部署了China Chopper web shell恶意脚本。这两个漏洞在微软发布的11月周二补丁包中都已得到了解决。

8. Zimbra协作套件漏洞（CVE-2022-27925和CVE-2022-41352）

今年早些时候，安全研究人员向公众披露了影响一种广泛使用的电子邮件和协议平台：Zimbra协作套件（ZCS）的两个漏洞（CVE-2022-27925和CVE-2022-41352）。CVE-2022-27925允许实现远程代码执行，而CVE-2022-41352可以被用来将任意文件上传到易受攻击的实例。在2022年7月至10月期间，研究人员发现了多起攻击，包括政府撑腰的黑客利用这些漏洞入侵了全球成千上万台ZCS服务器。

9. Atlassian Confluence RCE漏洞（CVE-2022-26134）

运行Atlassian Confluence软件的服务器对网络犯罪分子来说之所以是诱人的目标，是由于如果不打补丁，它们可能提供对企业网络的初始访问，因此保护它们显得至关重要。6月份，包括Kinsing、Hezb和Dark在内的几个僵尸网络使用Atlassian Confluence的远程执行漏洞（CVE-2022-26134），在未打补丁的安装系统上部署挖掘加密货币的恶意软件。

10. Zyxel RCE漏洞（CVE-2022-30525）

另一个值得注意的严重漏洞就是CVE-2022-30525，这个操作系统命令注入漏洞影响众多企业的Zyxel防火墙和VPN设备。一旦成功利用该漏洞，攻击者可以在不需要验证身份的情况下远程注入任意命令。考虑到这个安全问题的严重性以及可能带来的破坏，美国国家安全局（NSA）网络安全主任Rob Joyce发推文警告用户有人企图利用该漏洞，敦促用户更新易受攻击的Zyxel软件。
根据以上网络安全技能表不难看出，网络安全需要接触的技术还远远很多，常见的技能需要学习：外围打点能力、钓鱼远控能力、域渗透能力、流量分析能力、漏洞挖掘能力、代码审计能力等。

【----帮助网安学习，以下所有学习资料免费领！】

① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

03网络安全的知识多而杂，怎么科学合理安排？

一、基础阶段

★中华人民共和国网络安全法（包含18个知识点）
★Linux操作系统（包含16个知识点）
★计算机网络（包含12个知识点）
★SHELL （包含14个知识点）
★HTML/CSS （包含44个知识点）
★JavaScript （包含41个知识点）
★PHP入门（包含12个知识点）
★MySQL数据库（包含30个知识点）
★Python （包含18个知识点）
————————————————

入门的第一步是系统化的学习计算机基础知识，也就是学习以下这几个基础知识模块:操作系统、协议/网络、数据库、开发语言、常用漏洞原理。前面的基础知识学完之后，就要进行实操了。

因为互联网与信息化的普及网站系统对外的业务比较多,而且程序员的水平参差不齐和运维人员的配置事物，所以需要掌握的内容比较多。

二、渗透阶段

■SQL注入的渗透与防御（包含36个知识点）
■XSS相关渗透与防御（包含12个知识点）
■上传验证渗透与防御（包含16个知识点）
■|文件包含渗透与防御（包含12个知识点）
■CSRF渗透与防御（包含7个知识点）
■SSRF渗透与防御（包含6个知识点）
■XXE渗透与防御（包含5个知识点）
■远程代码执行渗透与防御（包含7个知识点）
■…（包含…个知识点）
————————————————

在这里插入图片描述