8月3日,美国网络安全与基础设施安全局CISA、国家安全局NSA和联邦调查局FBI,联合五眼联盟的其他各国网络安全机构,公布了2022年最常被利用的top 12漏洞。
这份联合发布的网络安全咨询公告上写道:“2022年,相比最近披露的漏洞,攻击者更倾向于利用较旧的软件漏洞,并针对未打补丁的互联网系统进行攻击。许多软件漏洞或漏洞链的概念验证(PoC)代码公开可用,可能为更广泛的恶意网络行为者提供了便利。”
其中位列第一的漏洞是影响Fortinet SSL VPN的CVE-2018-13379,据称被黑客利用来攻击美国政府的选举支持系统。该漏洞实际上早在2019年就被修复,但这四年来仍有不少机构未及时给设备打上相应补丁,一直是恶意组织的利用对象。
CISA建议供应商和开发商采取以下措施,以确保其产品的安全:
1、识别重复利用的漏洞类别。对CVE和已知被利用的漏洞进行分析,以了解哪些类别的漏洞比其他类别的漏洞识别得更多,并为之实施适当的缓解措施。例如,如果一个产品有多个SQL注入漏洞实例,请确保产品中的所有数据库查询都使用参数化查询,并禁止其他形式的查询。
2、确保业务领导人对安全负责,其应确保采取主动措施消除各类安全漏洞,而不仅仅是在发现新漏洞时进行一次性修补。
3、遵循SSDF(尽可能优先使用内存安全语言;在选择软件组件时尽职进行调查;建立安全的开发团队实践;建立漏洞披露计划;使用静态和动态应用程序安全测试工具来分析产品源代码和应用程序行为,以检测易出错的做法;将最安全的设置作为产品的默认设置)等。
1、漏洞和配置管理(及时更新IT网络资产上的软件、操作系统、应用程序和固件;定期执行安全系统备份等);
2、身份和访问管理(对所有用户强制实施防钓鱼的多因素身份验证;定期审查、验证及删除特权帐户;根据最小权限原则配置访问控制等);
3、保护控制和架构(正确配置和保护面向互联网的网络设备;实施零信任网络架构;持续监控攻击面等);
4、供应链安全(减少第三方应用程序和独特的系统/应用程序构建;了解供应商的安全计划等)。
编辑:左右里
资讯来源:CISA
转载请注明出处和本文链接
原文始发于微信公众号(看雪学苑):CISA公布了2022年最常被利用的12个漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/1969468.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论