黑客攻擊變得一年比一年高級和復(fù)雜，因此現(xiàn)在追蹤了解安全漏洞比以往任何時候都來得重要。本文著重介紹了2022年惡意威脅分子利用的一些最危險的漏洞。

1. Follina（CVE- 2022 – 30190）

CVE-2022-30190（非正式名稱為“Follina”）在2022年5月被披露，它是微軟Windows支持診斷工具（MSDT）中的一個遠(yuǎn)程代碼執(zhí)行漏洞，允許遠(yuǎn)程攻擊者在目標(biāo)系統(tǒng)上執(zhí)行任意shell命令。

自從該漏洞被公開披露以來，安全研究人員觀察到多起涉及利用該漏洞的案例，包括與俄羅斯政府有關(guān)的威脅分子（Sandworm、UAC-0098和APT28）針對烏克蘭的組織和政府機(jī)構(gòu)發(fā)起的多次網(wǎng)絡(luò)釣魚攻擊，旨在用竊取信息的惡意軟件感染受害者，以及針對歐美政府的網(wǎng)絡(luò)間諜活動。Follina漏洞還被用來植入遠(yuǎn)程訪問工具，比如Qbot和AsyncRAT，并在Windows系統(tǒng)上部署后門。

2. Log4Shell（CVE- 2021 – 44228）

盡管Log4Shell漏洞在2021年底才被披露，但它在最常被利用的漏洞排行榜中依然名列前茅，仍然是網(wǎng)絡(luò)犯罪分子在地下論壇上最常討論的漏洞之一。

CVE-2021-44228是一款廣受歡迎的Apache Log4j開源日志實(shí)用程序中的遠(yuǎn)程代碼執(zhí)行漏洞。如果威脅分子利用了該漏洞，就可以向受影響的系統(tǒng)發(fā)送一個特別精心設(shè)計的命令，執(zhí)行惡意代碼，并操控受害者的機(jī)器。自2021年12月以來，現(xiàn)已修復(fù)的Log4Shell漏洞一直被多個威脅分子大肆利用，從加密貨幣挖礦軟件、DDoS僵尸網(wǎng)絡(luò)、勒索軟件團(tuán)伙和初始訪問代理，到與伊朗、朝鮮和土耳其政府有關(guān)聯(lián)的政府撐腰的黑客，不一而足。

最近，有人觀察到威脅分子使用Log4Shell在未打補(bǔ)丁的、面向公眾的VMware Horizon和Unified Access Gateway（統(tǒng)一接入網(wǎng)關(guān)）服務(wù)器上部署惡意軟件。

3. Spring4Shell（CVE- 2022 – 22965）

CVE-2022-22965（Spring4Shell或SpringShell）是來自VMware的一種廣泛使用的開源Java框架Spring Framework中的遠(yuǎn)程代碼執(zhí)行漏洞，以上面提到的Log4Shell漏洞命名。一旦攻擊者實(shí)現(xiàn)了遠(yuǎn)程代碼執(zhí)行，就可以安裝惡意軟件，或者利用受影響的服務(wù)器作為初始立足點(diǎn)，以提升權(quán)限，進(jìn)而攻擊整個系統(tǒng)。

雖然Spring4Shell不像Log4Shell那么普遍，也不容易被利用，但眾多組織不應(yīng)該輕視該漏洞，因為它已經(jīng)變成了網(wǎng)絡(luò)犯罪分子手里的武器，用于部署加密貨幣挖礦軟件，并且用在了使用臭名昭著的Mirai惡意軟件的僵尸網(wǎng)絡(luò)。

4. F5 BIG-IP（CVE-2022-1388）

CVE-2022-1388于2022年5月首次被披露，是另一個值得關(guān)注的嚴(yán)重漏洞。該漏洞影響F5 BIG-IP軟硬件套件中的BIG-IP iControl REST身份驗證組件；一旦被利用，允許未經(jīng)身份驗證的攻擊者以“root”權(quán)限在BIG-IP網(wǎng)絡(luò)設(shè)備上執(zhí)行命令。在過去的幾個月里，研究人員發(fā)現(xiàn)了旨在擦除設(shè)備內(nèi)容或投放web shell惡意腳本的多起攻擊企圖利用該漏洞。

5. 谷歌Chrome零日漏洞（CVE-2022-0609）

現(xiàn)已得到修補(bǔ)的CVE-2022-0609是谷歌Chrome的動畫組件中的遠(yuǎn)程代碼執(zhí)行漏洞，兩起獨(dú)立的與朝鮮有關(guān)的黑客活動（名為“Operation Dream Job”和“Operation AppleJeus”）利用了該漏洞，這兩起黑客活動攻擊美國的媒體、IT、加密貨幣和金融技術(shù)等行業(yè)的多家組織。

6. 微軟Office漏洞（CVE-2017-11882）

古老的微軟Office遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-11882）于2017年首次被披露，至今仍是黑客論壇上最熱議的漏洞之一。雖然微軟在近五年前就發(fā)布了CVE-2017-11882的官方補(bǔ)丁，但許多組織依然沒有打上補(bǔ)丁，這給企圖趁虛而入的網(wǎng)絡(luò)犯罪分子提供了可趁之機(jī)。在最近的一個案例中，威脅分子利用這個未打補(bǔ)丁的漏洞來部署SmokeLoader惡意軟件，以便投放其他惡意軟件，比如TrickBot。

7. ProxyNotShell（CVE-2022-41082和CVE-2022-41040）

ProxyNotShell指兩個分別被編號為CVE-2022-41082和CVE-2022-41040的高危漏洞，允許訪問PowerShell Remoting的遠(yuǎn)程用戶在易受攻擊的Exchange系統(tǒng)上執(zhí)行任意代碼或執(zhí)行SSRF攻擊。這兩個漏洞于2022年9月首次被披露，據(jù)稱被黑客利用了數(shù)月。微軟證實(shí)，黑客們利用ProxyNotShell漏洞，在被攻擊的Exchange服務(wù)器上部署了China Chopper web shell惡意腳本。這兩個漏洞在微軟發(fā)布的11月周二補(bǔ)丁包中都已得到了解決。

8. Zimbra協(xié)作套件漏洞（CVE-2022-27925和CVE-2022-41352）

今年早些時候，安全研究人員向公眾披露了影響一種廣泛使用的電子郵件和協(xié)議平臺：Zimbra協(xié)作套件（ZCS）的兩個漏洞（CVE-2022-27925和CVE-2022-41352）。CVE-2022-27925允許實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，而CVE-2022-41352可以被用來將任意文件上傳到易受攻擊的實(shí)例。在2022年7月至10月期間，研究人員發(fā)現(xiàn)了多起攻擊，包括政府撐腰的黑客利用這些漏洞入侵了全球成千上萬臺ZCS服務(wù)器。

9. Atlassian Confluence RCE漏洞（CVE-2022-26134）

運(yùn)行Atlassian Confluence軟件的服務(wù)器對網(wǎng)絡(luò)犯罪分子來說之所以是誘人的目標(biāo)，是由于如果不打補(bǔ)丁，它們可能提供對企業(yè)網(wǎng)絡(luò)的初始訪問，因此保護(hù)它們顯得至關(guān)重要。6月份，包括Kinsing、Hezb和Dark在內(nèi)的幾個僵尸網(wǎng)絡(luò)使用Atlassian Confluence的遠(yuǎn)程執(zhí)行漏洞（CVE-2022-26134），在未打補(bǔ)丁的安裝系統(tǒng)上部署挖掘加密貨幣的惡意軟件。

10. Zyxel RCE漏洞（CVE-2022-30525）

另一個值得注意的嚴(yán)重漏洞就是CVE-2022-30525，這個操作系統(tǒng)命令注入漏洞影響眾多企業(yè)的Zyxel防火墻和VPN設(shè)備。一旦成功利用該漏洞，攻擊者可以在不需要驗證身份的情況下遠(yuǎn)程注入任意命令。考慮到這個安全問題的嚴(yán)重性以及可能帶來的破壞，美國國家安全局（NSA）網(wǎng)絡(luò)安全主任Rob Joyce發(fā)推文警告用戶有人企圖利用該漏洞，敦促用戶更新易受攻擊的Zyxel軟件。