CISA发布2021 Top15漏洞|含修复建议

4月28日，网络安全和基础设施安全署（CISA）、国家安全局（NSA）等网络安全机构发布了一份联合公告，介绍了2021年恶意网络行为者经常利用的Top15漏洞的详细信息，以及其他经常被利用的漏洞。

这些网络安全机构认为，2021年，恶意网络行为者大肆利用新披露的关键软件漏洞对攻击目标发起攻击，攻击目标包括世界各地的公共部门和私营部门组织。在较小的程度上来说，恶意网络行为者继续利用公开的、过时的软件漏洞来对广泛的攻击目标发起攻击。

网络安全机构鼓励组织机构采用本公告中缓解措施部分的建议。这些缓解措施包括及时给系统打补丁和实施集中的补丁管理系统，以降低被恶意网络行为者入侵的风险。

• CVE-2021-44228。该漏洞也称为Log4Shell，会影响Apache开源日志框架Log4j库。攻击者可以通过向易受攻击的系统提交特制请求来利用此漏洞，从而导致该系统执行任意代码。这种特制请求可以让网络行为者完全控制系统。然后，攻击者可以窃取信息、启动勒索软件或进行其他恶意活动。在全球范围内，有数千种产品采用了Log4j。该漏洞于2021年12月披露，随后迅速被广泛利用，这表明恶意行为者有能力快速将已知漏洞武器化，在组织机构打补丁之前发起攻击。

• CVE-2021-26855、CVE-2021-26858、CVE-2021-26857、CVE-2021-27065。这些漏洞（称为ProxyLogon）会影响Microsoft Exchange电子邮件服务器。组合利用这些漏洞（即“漏洞利用链”）可以让未经身份验证的网络攻击者在易受攻击的Exchange服务器上执行任意代码，这反过来又使攻击者能够持久访问服务器上的文件和邮箱，以及存储在服务器上的凭据。通过漏洞利用，网络攻击者能够泄露在易受攻击的网络中的信任和身份信息。

• CVE-2021-34523、CVE-2021-34473、CVE-2021-31207。这些漏洞（称为ProxyShell）也会影响Microsoft Exchange电子邮件服务器。组合利用这些漏洞可以让远程攻击者能够执行任意代码。这些漏洞位于Microsoft客户端访问服务(CAS)中，该服务通常在Micosoft lnternet信息服务(IIS)（例如 Microsot的Web服务器）的端口443上运行。CAS通常暴露在互联网上，以使用户能够通过移动设备和Web浏览器访问他们的电子邮件。

• CVE-2021-26084。该漏洞会影响Atlassian Confluence Server和Data Center，让未经身份验证的攻击者能够在易受攻击的系统上执行任意代码。在其POC披露后的一周内，该漏洞迅速成为最常被利用的漏洞之一。2021年9月观察到有尝试大规模利用该漏洞的情况。

• 及时更新IT网络资产上的软件、操作系统、应用程序和固件。优先修补已知被利用的漏洞，特别是本公告中确定的CVE，然后是允许在面向互联网的设备上进行远程代码执行或拒绝服务的关键和高危漏洞。关于本公告中确定的CVE的补丁信息，请扫码下载文件，查看详细信息。

• 如果不能快速给已知被利用的漏洞或关键漏洞打补丁，可以采用供应商提供的临时缓

     解措施。

• 使用一个集中的补丁管理系统。

• 替换过期的软件，即供应商不再提供支持的软件。例如，Accellion FTA已于2021年4月停止维护。

• 如果组织机构无法对面向互联网的系统进行快速扫描和打补丁，则应考虑将这些服务转移给成熟的、有信誉的云服务提供商（CSP）或其他托管服务提供商（MSP）。声誉良好的MSP可以为客户的应用程序打补丁，如网络邮件、文件存储、文件共享以及聊天和其他员工协作工具。然而，由于MSP和CSP扩大了客户组织的攻击面，并可能引入意料之外的风险，组织机构应积极主动地与MSP和CSP合作，共同降低这种风险。

• 对所有用户执行多因素认证（MFA），绝不存在例外情况。

• 在所有VPN连接执行MFA。如果MFA不可用，要求远程办公的员工使用强密码。

• 定期审查、验证或删除特权账户（至少每年一次）。

• 根据最小权限原则的概念配置访问控制。

• 确保软件服务账户只提供必要的权限（最小权限）来执行预定的功能（非管理权限）。

• 正确配置和保护面向互联网的网络设备，禁用未使用或不必要的网络端口和协议，加密网络流量，并禁用未使用的网络服务和设备。

•  加固通常被利用的企业网络服务，包括LLMN协议、远程桌面协议（RDP）、通用互联网文件系统（CIFS）、活动目录和OpenLDAP。

• 管理Windows密钥分发中心（KDC）账户（如KRBTGT），尽量减少黄金票据攻击和Kerberoasting攻击。

• 严格控制本地脚本应用程序的使用，如命令行、PowerShell、WinRM、WMI和DCOM。

• 进行网络分段，控制对应用程序、设备和数据库的访问，限制或阻止横向移动。使用私人VLAN。

• 持续监控攻击面，调查可能表明威胁行为者或恶意软件横向移动的异常活动。

• 使用安全工具，如EDR以及SIEM。考虑使用信息技术资产管理（ITAM）解决方案，以确保EDR、SIEM、漏洞扫描器等报告的资产数量相同。

• 监测环境中潜在的垃圾程序。

• 减少构建第三方应用程序和特定系统/应用程序；只有在需要支持业务关键功能时才能这样做。

• 实施应用程序白名单。
  

【参考文件】

https://www.cisa.gov/uscert/ncas/alerts/aa22-117a