目录导航
概括
2021 Top Routinely Exploited Vulnerabilities
该联合网络安全咨询 (CSA) 由美国、澳大利亚、加拿大、新西兰和英国的网络安全当局共同撰写:网络安全和基础设施安全局 ( CISA )、国家安全局 ( NSA )、联邦调查局( FBI )、澳大利亚网络安全中心 ( ACSC )、加拿大网络安全中心 ( CCCS )、新西兰国家网络安全中心 ( NZ NCSC ) 和英国国家网络安全中心 ( NCSC-UK)。本公告详细介绍了 2021 年恶意网络行为者经常利用的 15 个常见漏洞和暴露 (CVE) 以及其他经常利用的 CVE。
美国、澳大利亚、加拿大、新西兰和英国网络安全当局评估,2021 年,恶意网络行为者针对广泛的目标集(包括全球公共和私营部门组织)积极针对新披露的关键软件漏洞。在较小程度上,恶意网络行为者继续利用广泛的目标中已知的、过时的软件漏洞。
网络安全当局鼓励组织应用本 CSA 缓解部分中的建议。这些缓解措施包括及时向系统应用补丁并实施集中式补丁管理系统,以降低恶意网络参与者的危害风险。
下载 联合网络安全公告:2021 年最常被利用的漏洞 (pdf, 777kb)。
技术细节
主要发现
在全球范围内,2021 年,恶意网络攻击者利用新披露的漏洞攻击面向互联网的系统,例如电子邮件服务器和虚拟专用网络 (VPN) 服务器。对于大多数最常被利用的漏洞,研究人员或其他参与者在漏洞披露后的两周内发布了概念验证 (POC) 代码,这可能有助于更广泛的恶意参与者利用。
在较小程度上,恶意网络行为者继续利用众所周知的、过时的软件漏洞——其中一些漏洞在 2020 年或更早的时候也经常被利用。对旧漏洞的利用表明,对于未能及时修补软件或正在使用供应商不再支持的软件的组织来说,这些风险将持续存在。
前 15 个经常被利用的漏洞
表 1 显示了美国、澳大利亚、加拿大、新西兰和英国网络安全当局观察到的恶意行为者在 2021 年经常利用的前 15 个漏洞,其中包括:
- CVE-2021-44228。此漏洞称为 Log4Shell,会影响 Apache 的 Log4j 库,这是一个开源日志框架。攻击者可以通过向易受攻击的系统提交特制请求来利用此漏洞,从而导致该系统执行任意代码。该请求允许网络参与者完全控制系统。然后,攻击者可以窃取信息、启动勒索软件或进行其他恶意活动。 [1] Log4j 已被纳入全球数千种产品中。该漏洞于 2021 年 12 月披露;对该漏洞的迅速广泛利用表明恶意行为者能够在已知漏洞和目标组织修补之前迅速将其武器化。
- CVE-2021-26855、CVE-2021-26858、CVE-2021-26857、CVE-2021-27065。这些漏洞(称为 ProxyLogon)会影响 Microsoft Exchange 电子邮件服务器。成功利用这些漏洞组合(即“漏洞链接”)允许未经身份验证的网络攻击者在易受攻击的 Exchange 服务器上执行任意代码,这反过来又使攻击者能够持久访问服务器上的文件和邮箱,如以及存储在服务器上的凭据。成功的利用还可能使网络攻击者在易受攻击的网络中破坏信任和身份。
- CVE-2021-34523、CVE-2021-34473、CVE-2021-31207。这些漏洞(称为 ProxyShell)也会影响 Microsoft Exchange 电子邮件服务器。成功利用这些漏洞组合使远程参与者能够执行任意代码。这些漏洞位于 Microsoft 客户端访问服务 (CAS) 中,该服务通常在 Microsoft Internet 信息服务 (IIS)(例如 Microsoft 的 Web 服务器)的端口 443 上运行。CAS 通常暴露在互联网上,以使用户能够通过移动设备和 Web 浏览器访问他们的电子邮件。
- CVE-2021-26084。这个影响 Atlassian Confluence Server 和 Data Center 的漏洞可能使未经身份验证的参与者能够在易受攻击的系统上执行任意代码。在 POC 在其披露后的一周内发布后,此漏洞迅速成为最常被利用的漏洞之一。2021 年 9 月观察到尝试大规模利用此漏洞。
2020 年,前 15 个经常被利用的漏洞中的三个也被经常利用:CVE-2020-1472、CVE-2018-13379 和 CVE-2019-11510。他们的持续利用表明,许多组织未能及时修补软件,并且仍然容易受到恶意网络攻击者的攻击。
表 1:2021 年最常被利用的 15 个漏洞
CVE | 漏洞名称 | 供应商和产品 | 类型 |
CVE-2021-44228 | Log4Shell | Apache Log4j | 远程代码执行 (RCE) |
CVE-2021-40539 | Zoho ManageEngine AD SelfService Plus | 远程代码执行 | |
CVE-2021-34523 | ProxyShell | 微软Exchange 服务器 | 特权提升 |
CVE-2021-34473 | ProxyShell | 微软Exchange 服务器 | 远程代码执行 |
CVE-2021-31207 | ProxyShell | 微软Exchange 服务器 | 安全功能绕过 |
CVE-2021-27065 | ProxyLogon | 微软Exchange 服务器 | 远程代码执行 |
CVE-2021-26858 | ProxyLogon | 微软Exchange 服务器 | 远程代码执行 |
CVE-2021-26857 | ProxyLogon | 微软Exchange 服务器 | 远程代码执行 |
CVE-2021-26855 | ProxyLogon | 微软Exchange 服务器 | 远程代码执行 |
CVE-2021-26084 | Atlassian Confluence 服务器和数据中心 | 任意代码执行 | |
CVE-2021-21972 | VMware vSphere 客户端 | 远程代码执行 | |
CVE-2020-1472 | ZeroLogon | Microsoft Netlogon 远程协议 (MS-NRPC) | 特权提升 |
CVE-2020-0688 | 微软Exchange 服务器 | 远程代码执行 | |
CVE-2019-11510 | 脉冲安全 脉冲连接安全 | 任意文件读取 | |
CVE-2018-13379 | Fortinet FortiOS 和 FortiProxy | 路径遍历 |
其他经常被利用的漏洞
除了表 1 中列出的 15 个漏洞外,美国、澳大利亚、加拿大、新西兰和英国的网络安全当局还发现了表 2 中列出的漏洞,这些漏洞在 2021 年也经常被恶意网络攻击者利用。
这些漏洞包括影响面向 Internet 的系统的多个漏洞,包括 Accellion File Transfer Appliance (FTA)、Windows Print Spooler 和 Pulse Secure Pulse Connect Secure。其中三个 漏洞在 2020 年也经常被利用:CVE-2019-19781、CVE-2019-18935 和 CVE-2017-11882。
表 2:2021 年其他常规利用的漏洞
CVE | 供应商和产品 | 类型 |
CVE-2021-42237 | Sitecore XP | RCE |
CVE-2021-35464 | ForgeRock OpenAM 服务器 | RCE |
CVE-2021-27104 | Accellion FTA | 操作系统命令执行 |
CVE-2021-27103 | Accellion FTA | 服务器端请求伪造 |
CVE-2021-27102 | Accellion FTA | 操作系统命令执行 |
CVE-2021-27101 | Accellion FTA | SQL注入 |
CVE-2021-21985 | VMware vCenter Server | RCE |
CVE-2021-20038 | SonicWall Secure Mobile Access (SMA) | RCE |
CVE-2021-40444 | Microsoft MSHTML | RCE |
CVE-2021-34527 | Microsoft Windows Print Spooler | RCE |
CVE-2021-3156 | Sudo | 权限提升 |
CVE-2021-27852 | Checkbox Survey | 远程任意代码执行 |
CVE-2021-22893 | Pulse Secure Pulse Connect Secure | 远程任意代码执行 |
CVE-2021-20016 | SonicWall SSLVPN SMA100 | 不正确的 SQL 命令中和,允许凭据访问 |
CVE-2021-1675 | Windows Print Spooler | RCE |
CVE-2020-2509 | QNAP QTS 和 QuTS hero | 远程任意代码执行 |
CVE-2019-19781 | Citrix Application Delivery Controller (ADC) and Gateway | 任意代码执行 |
CVE-2019-18935 | Progress Telerik UI for ASP.NET AJAX | 代码执行 |
CVE-2018-0171 | Cisco IOS Software and IOS XE Software | 远程任意代码执行 |
CVE-2017-11882 | Microsoft Office | RCE |
CVE-2017-0199 | Microsoft Office | RCE |
缓解措施
漏洞和配置管理
- 及时更新 IT 网络资产上的软件、操作系统、应用程序和固件。优先修补已知被利用的漏洞,尤其是本 CSA 中确定的 CVE,然后是允许在面向 Internet 的设备上远程执行代码或拒绝服务的关键和高漏洞。有关此 CSA 中确定的 CVE 的补丁信息,请参阅附录。
- 如果无法快速应用针对已知被利用或严重漏洞的补丁,请实施供应商批准的变通办法。
- 使用集中的补丁管理系统。
- 更换寿命终止的软件,即供应商不再支持的软件。例如,Accellion FTA 已于 2021 年 4 月退役。
- 无法对面向 Internet 的系统执行快速扫描和修补的组织应考虑将这些服务转移到成熟的、有信誉的云服务提供商 (CSP) 或其他托管服务提供商 (MSP)。信誉良好的 MSP 可以为他们的客户修补应用程序,例如网络邮件、文件存储、文件共享以及聊天和其他员工协作工具。但是,随着 MSP 和 CSP 扩大其客户组织的攻击面并可能引入意外风险,组织应主动与其 MSP 和 CSP 协作以共同降低该风险。有关更多信息和指导,请参阅以下资源。
- CISA Insights托管服务提供商客户的风险注意事项
- CISA Insights针对 MSP 和中小型企业的缓解和强化指导
- ACSC 关于在聘请托管服务提供商时如何管理您的安全性的建议
身份和访问管理
- 对所有用户强制执行多因素身份验证 (MFA),无一例外。
- 在所有 VPN 连接上强制执行 MFA。如果 MFA 不可用,则要求从事远程工作的员工使用强密码。
- 定期审查、验证或删除特权帐户(至少每年一次)。
- 在最小权限原则的概念下配置访问控制。
- 确保软件服务帐户仅提供执行预期功能(非管理权限)所需的权限(最低权限)。
注意:有关强化身份验证系统的更多信息,请参阅CISA 容量增强指南 – 实施强身份验证和 ACSC实施多因素身份验证指南。
保护控制和架构
- 正确配置和保护面向 Internet 的网络设备,禁用未使用或不必要的网络端口和协议,加密网络流量,并禁用未使用的网络服务和设备。
- Harden 通常利用企业网络服务,包括链路本地多播名称解析 (LLMNR) 协议、远程桌面协议 (RDP)、通用 Internet 文件系统 (CIFS)、Active Directory 和 OpenLDAP。
- 管理 Windows 密钥分发中心 (KDC) 帐户(例如,KRBTGT),以最大限度地减少金票攻击和 Kerberoasting。
- 严格控制本机脚本应用程序的使用,例如命令行、PowerShell、WinRM、Windows Management Instrumentation (WMI) 和分布式组件对象模型 (DCOM)。
- 通过控制对应用程序、设备和数据库的访问,对网络进行分段以限制或阻止横向移动。使用私有虚拟局域网。
- 持续监控攻击面并调查可能表明威胁参与者或恶意软件横向移动的异常活动。
- 使用安全工具,例如端点检测和响应 (EDR) 以及安全信息和事件管理 (SIEM) 工具。考虑使用信息技术资产管理 (ITAM) 解决方案来确保您的 EDR、SIEM、漏洞扫描器等报告相同数量的资产。
- 监视潜在有害程序的环境。
- 减少第三方应用程序和独特的系统/应用程序构建;仅在需要支持业务关键功能时才提供例外。
- 实施应用程序许可名单。
资源
- 有关 2020 年最常利用的漏洞,请参阅联合 CSA经常被利用的漏洞
- 有关 2016 年至 2019 年最常被利用的漏洞,请参阅联合 CSA经常被利用的10 个漏洞。
- 有关此 CSA 中提到的漏洞的其他合作伙伴资源,请参阅附录。
免责声明
本报告中的信息按“原样”提供,仅供参考。CISA、FBI、NSA、ACSC、CCCS、NZ NCSC 和 NCSC-UK 不认可任何商业产品或服务,包括任何分析对象。通过服务标志、商标、制造商或其他方式对特定商业产品、流程或服务的任何引用,并不构成或暗示认可、推荐或偏袒。
目的
本文件由美国、澳大利亚、加拿大、新西兰和英国网络安全当局制定,以促进各自的网络安全任务,包括制定和发布网络安全规范和缓解措施的责任。
参考
附录:针对最常被利用的漏洞的补丁信息和其他资源
联系信息
美国组织:所有组织都应通过[email protected]或(888) 282-0870向CISA 24/7 运营中心和/或通过您当地的FBI 外地办事处或FBI 的24/7 CyWatch 向FBI报告事件和异常活动在 (855) 292-3937 或 [email protected]。如果可用,请提供有关事件的以下信息:事件的日期、时间和地点;活动类型;受影响的人数;用于活动的设备类型;提交公司或组织的名称;和指定的联络点。有关 NSA 客户要求或一般网络安全查询,请联系Cyber[email protected]。澳大利亚组织:访问cyber.gov.au或致电 1300 292 371 (1300 CYBER 1) 报告网络安全事件并访问警报和建议。加拿大组织:通过向 CCCS 发送电子邮件至[email protected]报告事件。新西兰组织:向 [email protected]报告网络安全事件或致电 04 498 7654。英国组织:报告重大网络安全事件:ncsc.gov.uk/report-an-incident(24 小时监控)或,如需紧急援助,请致电 03000 200 973。
修订
2022 年 4 月 27 日:初始版本
转载请注明出处及链接