CISA发布2021 Top15漏洞|含修复建议

admin 2022年5月3日00:55:37安全漏洞评论9 views3004字阅读10分0秒阅读模式

CISA发布2021 Top15漏洞|含修复建议


4月28日,网络安全和基础设施安全署(CISA)、国家安全局(NSA)等网络安全机构发布了一份联合公告,介绍了2021年恶意网络行为者经常利用的Top15漏洞的详细信息,以及其他经常被利用的漏洞。


这些网络安全机构认为,2021年,恶意网络行为者大肆利用新披露的关键软件漏洞对攻击目标发起攻击,攻击目标包括世界各地的公共部门和私营部门组织。在较小的程度上来说,恶意网络行为者继续利用公开的、过时的软件漏洞来对广泛的攻击目标发起攻击。


网络安全机构鼓励组织机构采用本公告中缓解措施部分的建议。这些缓解措施包括及时给系统打补丁和实施集中的补丁管理系统,以降低被恶意网络行为者入侵的风险。


CISA发布2021 Top15漏洞|含修复建议
扫码下载《网络安全联合公告:2021年最常被利用的Top15漏洞》

技术详情


1、关键发现

在全球范围内,2021年,恶意网络行为者利用新披露的漏洞对面向互联网的系统发起攻击,如电子邮件服务器和VPN服务器。对于大多数被利用的漏洞,研究人员或其他人员在漏洞披露后的两周内发布了POC代码,这可能为更多的恶意行为者利用漏洞提供了便利。

在较小的程度上来说,恶意的网络行为者继续利用公开的、过时的软件漏洞,其中包括一些2020年常被利用的漏洞。对原有漏洞的利用表明,若组织机构未能及时修补软件或使用不再受供应商支持的软件,他们仍会面临风险。

2、常被利用的TOP15漏洞

表1展示了网络安全机构观察到的2021年恶意行为者经常利用的TOP15漏洞,其中包括:

  • CVE-2021-44228。该漏洞也称为Log4Shell,会影响Apache开源日志框架Log4j库。攻击者可以通过向易受攻击的系统提交特制请求来利用此漏洞,从而导致该系统执行任意代码。这种特制请求可以让网络行为者完全控制系统。然后,攻击者可以窃取信息、启动勒索软件或进行其他恶意活动。在全球范围内,有数千种产品采用了Log4j。该漏洞于2021年12月披露,随后迅速被广泛利用,这表明恶意行为者有能力快速将已知漏洞武器化,在组织机构打补丁之前发起攻击。


  • CVE-2021-26855、CVE-2021-26858、CVE-2021-26857、CVE-2021-27065。这些漏洞(称为ProxyLogon)会影响Microsoft Exchange电子邮件服务器。组合利用这些漏洞(即“漏洞利用链”)可以让未经身份验证的网络攻击者在易受攻击的Exchange服务器上执行任意代码,这反过来又使攻击者能够持久访问服务器上的文件和邮箱,以及存储在服务器上的凭据。通过漏洞利用,网络攻击者能够泄露在易受攻击的网络中的信任和身份信息。


  • CVE-2021-34523、CVE-2021-34473、CVE-2021-31207。这些漏洞(称为ProxyShell)也会影响Microsoft Exchange电子邮件服务器。组合利用这些漏洞可以让远程攻击者能够执行任意代码。这些漏洞位于Microsoft客户端访问服务(CAS)中,该服务通常在Micosoft lnternet信息服务(IIS)(例如 Microsot的Web服务器)的端口443上运行。CAS通常暴露在互联网上,以使用户能够通过移动设备和Web浏览器访问他们的电子邮件。


  • CVE-2021-26084。该漏洞会影响Atlassian Confluence Server和Data Center,让未经身份验证的攻击者能够在易受攻击的系统上执行任意代码。在其POC披露后的一周内,该漏洞迅速成为最常被利用的漏洞之一。2021年9月观察到有尝试大规模利用该漏洞的情况。


2021年,前15个常被利用的漏洞中有三个是2020年常被利用的漏洞:CVE-2020-1472、CVE-2018-13379和CVE-2019-11510。这些漏洞持续被利用表明, 许多织机构未能及时修补软件,非常容易受到恶意网络攻击者的攻击。

CISA发布2021 Top15漏洞|含修复建议
 表1:2021年常被利用的Top15漏洞

3、其他常被利用的漏洞

除了表1所列的15个漏洞外,网络安全机构还发现了表2所列的漏洞,这些漏洞在2021年也经常被恶意的网络行为者利用。

这些漏洞包括影响面向互联网的系统的多个漏洞,包括Accellion文件传输设备(FTA)、Windows Print Spooler和Pulse Secure Pulse Connect Secure。这些漏洞中的三个也在2020年被例行利用。CVE-2019-1978、CVE-2019-18935和CVE-2017-11882。

CISA发布2021 Top15漏洞|含修复建议
表2:2021年其他常被利用的漏洞

缓解措施


1、漏洞与配置管理

  • 及时更新IT网络资产上的软件、操作系统、应用程序和固件。优先修补已知被利用的漏洞,特别是本公告中确定的CVE,然后是允许在面向互联网的设备上进行远程代码执行或拒绝服务的关键和高危漏洞。关于本公告中确定的CVE的补丁信息,请扫码下载文件,查看详细信息。

  • 如果不能快速给已知被利用的漏洞或关键漏洞打补丁,可以采用供应商提供的临时缓

     解措施。


  • 使用一个集中的补丁管理系统。


  • 替换过期的软件,即供应商不再提供支持的软件。例如,Accellion FTA已于2021年4月停止维护。


  • 如果组织机构无法对面向互联网的系统进行快速扫描和打补丁,则应考虑将这些服务转移给成熟的、有信誉的云服务提供商(CSP)或其他托管服务提供商(MSP)。声誉良好的MSP可以为客户的应用程序打补丁,如网络邮件、文件存储、文件共享以及聊天和其他员工协作工具。然而,由于MSP和CSP扩大了客户组织的攻击面,并可能引入意料之外的风险,组织机构应积极主动地与MSP和CSP合作,共同降低这种风险。


2、身份与访问管理

  • 对所有用户执行多因素认证(MFA),绝不存在例外情况。


  • 在所有VPN连接执行MFA。如果MFA不可用,要求远程办公的员工使用强密码。


  • 定期审查、验证或删除特权账户(至少每年一次)。


  • 根据最小权限原则的概念配置访问控制。

  • 确保软件服务账户只提供必要的权限(最小权限)来执行预定的功能(非管理权限)。


3、防护性控制措施与架构

  • 正确配置和保护面向互联网的网络设备,禁用未使用或不必要的网络端口和协议,加密网络流量,并禁用未使用的网络服务和设备。

  •  加固通常被利用的企业网络服务,包括LLMN协议、远程桌面协议(RDP)、通用互联网文件系统(CIFS)、活动目录和OpenLDAP。

  • 管理Windows密钥分发中心(KDC)账户(如KRBTGT),尽量减少黄金票据攻击和Kerberoasting攻击。

  • 严格控制本地脚本应用程序的使用,如命令行、PowerShell、WinRM、WMI和DCOM。


  • 进行网络分段,控制对应用程序、设备和数据库的访问,限制或阻止横向移动。使用私人VLAN。


  • 持续监控攻击面,调查可能表明威胁行为者或恶意软件横向移动的异常活动。

  • 使用安全工具,如EDR以及SIEM。考虑使用信息技术资产管理(ITAM)解决方案,以确保EDR、SIEM、漏洞扫描器等报告的资产数量相同。

  • 监测环境中潜在的垃圾程序。


  • 减少构建第三方应用程序和特定系统/应用程序;只有在需要支持业务关键功能时才能这样做。


  • 实施应用程序白名单。



【参考文件】

https://www.cisa.gov/uscert/ncas/alerts/aa22-117a






CISA发布2021 Top15漏洞|含修复建议
CISA发布2021 Top15漏洞|含修复建议
CISA发布2021 Top15漏洞|含修复建议
CISA发布2021 Top15漏洞|含修复建议
-完-

CISA发布2021 Top15漏洞|含修复建议

原文始发于微信公众号(青藤技术服务):CISA发布2021 Top15漏洞|含修复建议

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月3日00:55:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  CISA发布2021 Top15漏洞|含修复建议 http://cn-sec.com/archives/963390.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: