年最常被利用的TOP15漏洞CISA

概要

该网络安全联合公告（CSA）是由网络安全机构——网络安全和基础设施安全局（CISA）、国家安全局（NSA）等多家机构联合撰写的。该公告介绍了2021年恶意网络行为者经常利用的Top 15漏洞的详细信息，以及其他经常被利用的漏洞。

这些网络安全机构认为，2021年，恶意网络行为者大肆利用新披露的关键软件漏洞对攻击目标发起攻击，攻击目标包括世界各地的公共部门和私营部门组织。在较小的程度上来说，恶意网络行为者继续利用公开的、过时的软件漏洞来对广泛的攻击目标发起攻击。

网络安全机构鼓励组织机构采用本公告中缓解措施部分的建议。这些缓解措施包括及时给系统打补丁和实施集中的补丁管理系统，以降低被恶意网络行为者入侵的风险。

技术详情

关键发现

在全球范围内，2021年，恶意网络行为者利用新披露的漏洞对面向互联网的系统发起攻击，如电子邮件服务器和VPN服务器。对于大多数被利用的漏洞，研究人员或其他人员在漏洞披露后的两周内发布了POC代码，这可能为更多的恶意行为者利用漏洞提供了便利。

在较小的程度上来说，恶意的网络行为者继续利用公开的、过时的软件漏洞，其中包括一些2020年常被利用的漏洞。对原有漏洞的利用表明，若组织机构未能及时修补软件或使用不再受供应商支持的软件，他们仍会面临风险。

Top15常被利用的漏洞

表1展示了网络安全机构观察到的2021年恶意行为者经常利用的前15个漏洞，其中包括：

• CVE-2021-44228。该漏洞也称为Log4Shell，会影响Apache log4j开源日志记录框架。攻击者可以通过向易受攻击的系统提交特制请求来利用此漏洞，从而导致该系统执行任意代码。这种特制请求可以让网络行为者完全控制系统。然后，攻击者可以窃取信息、启动勒索软件或进行其他恶意活动。在全球范围内，有数千种产品采用了Log4j。该漏洞于2021年12月披露，随后迅速被广泛利用，这表明恶意行为者有能力快速将已知漏洞武器化，在组织机构打补丁之前发起攻击。

• CVE-2021-26855、CVE-2021-26858、CVE-2021-26857、CVE-2021-27065。这些漏洞（称为ProxyLogon）会影响Microsoft Exchange电子邮件服务器。组合利用这些漏洞（即“漏洞利用链”）可以让未经身份验证的网络攻击者在易受攻击的Exchange服务器上执行任意代码，这反过来又使攻击者能够持久访问服务器上的文件和邮箱，以及存储在服务器上的凭据。通过漏洞利用，网络攻击者能够泄露在易受攻击的网络中的信任和身份信息。

• CVE-2021-34523、CVE-2021-34473、CVE-2021-31207。这些漏洞（称为ProxyShell）也会影响Microsoft Exchange电子邮件服务器。组合利用这些漏洞可以让远程攻击者能够执行任意 代码。这些漏洞位于Microsoft客户端访问服务(CAS)中，该服务通常在Micosoft lnternet信息服务(IIS)（例如 Microsot的Web服务器）的端口443上运行。CAS通常暴露在互联网上，以使用户能够通过移动设备和Web浏览器访问他们的电子邮件。

CVE-2021-26084。该漏洞会影响Atlassian Confluence Server和Data Center，让未经身份验证的攻击者能够在易受攻击的系统上执行任意代码。在其POC披露后的一周内，该漏洞迅速成为最常被利用的漏洞之一。2021年9月观察到有尝试大规模利用该漏洞的情况。

2021年，Top 15常被利用的漏洞中有三个是2020年常被利用的漏洞：CVE-2020-1472、CV-2018- 13379和CVE-2019-11510。这些漏洞持续被利用表明，许多组织机构未能及时修补软件，非常容易受 到恶意网络攻击者的攻击

​

编辑切换为居中

添加图片注释，不超过 140 字（可选）

​其他常被利用的漏洞

除了表1所列的15个漏洞外，网络安全机构还发现了表2所列的漏洞，这些漏洞在2021年也经常被恶 意的网络行为者利用。

这些漏洞包括影响面向互联网的系统的多个漏洞，包括Accellion文件传输设备（FTA）、Windows Print Spooler和Pulse Secure Pulse Connect Secure。这些漏洞中的三个也在2020年被例行利用。

CVE-2019-1978、CVE-2019-18935和CVE-2017-11882。

​

编辑切换为居中

添加图片注释，不超过 140 字（可选）

​

缓解措施

漏洞与配置管理

• 及时更新IT网络资产上的软件、操作系统、应用程序和固件。优先修补已知被利用的漏洞， 特别是本公告中确定的CVE，然后是允许在面向互联网的设备上进行远程代码执行或拒绝服务的关键和高危漏洞。关于本公告中确定的CVE的补丁信息，请参见附录。

o 如果不能快速给已知被利用的漏洞或关键漏洞打补丁，可以采用供应商提供的临时缓解措施。

• 使用一个集中的补丁管理系统。

• 替换过期的软件，即供应商不再提供支持的软件。例如，Accellion FTA已于2021年4月停 止维护。

• 如果组织机构无法对面向互联网的系统进行快速扫描和打补丁，则应考虑将这些服务转移给成熟的、有信誉的云服务提供商（CSP）或其他托管服务提供商（MSP）。声誉良好的MSP可以为客户的应用程序打补丁，如网络邮件、文件存储、文件共享以及聊天和其他员工协作工具。然而，由于MSP和CSP扩大了客户组织的攻击面，并可能引入意料之外的风险，组织机构应积极主动地与MSP和CSP合作，共同降低这种风险。

o CISA 洞察 Risk Considerations for Managed Service Provider Customers

o CISA 洞察 Mitigations and Hardening Guidance for MSPs and Small- and Mid-sized Businesses

o ACSC 建议 How to Manage Your Security When Engaging a ManagedService Provider

身份与访问管理

• 对所有用户执行多因素认证（MFA），绝不存在例外情况。

• 在所有VPN连接执行MFA。如果MFA不可用，要求远程办公的员工使用强密码。

• 定期审查、验证或删除特权账户（至少每年一次）。

• 根据最小权限原则的概念配置访问控制。

o 确保软件服务账户只提供必要的权限（最小权限）来执行预定的功能（非管理权限）。

防护性控制措施与架构

• 正确配置和保护面向互联网的网络设备，禁用未使用或不必要的网络端口和协议，加密网络流量，并禁用未使用的网络服务和设备。

o 加固通常被利用的企业网络服务，包括LLMN协议、远程桌面协议（RDP）、通用互 联网文件系统（CIFS）、活动目录和OpenLDAP。

o 管理Windows密钥分发中心（KDC）账户（如KRBTGT），尽量减少黄金票据攻击 和Kerberoasting攻击。

o 严格控制本地脚本应用程序的使用，如命令行、PowerShell、WinRM、WMI和 DCOM。

• 进行网络分段，控制对应用程序、设备和数据库的访问，限制或阻止横向移动。使用私人 VLAN。

• 持续监控攻击面，调查可能表明威胁行为者或恶意软件横向移动的异常活动。

o 使用安全工具，如EDR以及SIEM。考虑使用信息技术资产管理（ITAM）解决方案，以确保EDR、 SIEM、漏洞扫描器等报告的资产数量相同。

o 监测环境中潜在的垃圾程序。

• 减少构建第三方应用程序和特定系统/应用程序；只有在需要支持业务关键功能时才能这样做。

• 实施应用程序白名单。

资源

• 关于2020年常被利用的漏洞，见联合公告 Top Routinely Exploited Vulnerabilities

• 关于2016年至2019年常被利用的漏洞，见联合公告Top 10 Routinely Exploited Vulnerabilities。

• 有关本公告中提到的漏洞的其他合作伙伴资源，见附录 。

免责声明

本报告中的信息 "按原样 "提供，仅作参考之用。CISA、FBI等机构并不对任何商业产品或服务表示支 持，包括任何分析主体。任何通过服务标志、商标、制造商或其他方式提及的特定商业产品、程序或服务，不构成或暗示认可、推荐或赞成。

目的

本文件由多家网络安全机构共同制定，以促进其各自的网络安全任务，包括其制定和发布网络安全规 范和缓解措施的责任。

参考文件：https://www.cisa.gov/uscert/ncas/alerts/aa22-117a