2023年最常被利用的漏洞(文末附下载)

发布于 作者:

2023年最常被利用的漏洞(文末附下载)

计算机与网络安全 2024-11-21 23:57

进网络安全行业群

微信公众号 计算机与网络安全

回复 
行业群

本文提供了由创作机构收集和汇编的关于2023年恶意网络行为者常规和频繁利用的常见漏洞和暴露(CVE)及其相关的常见弱点列举(CWE)的详细信息。与2022年相比,恶意网络行为者在2023年利用了更多零日漏洞来危害企业网络,使他们能够针对高优先级目标进行操作。

强烈建议供应商、设计人员、开发人员和最终用户组织实施以下建议,以及缓解措施部分,以降低恶意网络行为者的危害风险。

技术细节

主要发现

与2022年相比,2023年恶意网络行为者利用更多零日漏洞来危害企业网络,使他们能够针对更高优先级的目标进行网络操作。在2023年,大多数最常被利用的漏洞最初被利用为零日,这比2022年有所增加,当时不到一半的被利用的顶级漏洞被利用为零日。

在公开披露漏洞后的两年内,恶意网络行为者继续最成功地利用漏洞。随着更多系统被修补或替换,这些漏洞的效用会随着时间的推移而下降。当国际网络安全努力缩短零日漏洞的寿命时,恶意网络行为者发现零日漏洞利用的效用减少。

网络安全工作包括

实现以安全为中心的产品开发生命周期。软件开发人员部署补丁来修复软件漏洞通常是一个漫长而昂贵的过程,特别是对于零日。在整个产品开发生命周期中使用更健壮的测试环境和实现威胁建模将有可能减少整个产品的漏洞。

增加对负责任的漏洞披露的激励。减少负责任的漏洞披露障碍的全球努力可以限制恶意网络行为者利用零日漏洞的效用。例如,制定漏洞报告漏洞奖励计划,允许研究人员因其对漏洞研究的贡献而获得补偿和认可,这可能会促进披露。

使用复杂的端点检测和响应(EDR)工具。最终用户利用EDR解决方案可以提高零日漏洞的检测率。大多数零日漏洞利用,包括去年15大漏洞中的至少3个,都是在最终用户或EDR系统报告可疑活动或异常设备故障时被发现的。

最常被利用的漏洞

表1是创作机构观察到的恶意网络行为者在2023年经常利用的15大漏洞。
– CVE-2023-3519
:此漏洞会影响Citrix NetScaler ADC和NetScaler网关。

  • CVE-2023-4966
    :此漏洞会影响Citrix NetScaler ADC和NetScaler网关。

  • CVE-2023-20198
    :此漏洞影响Cisco IOS XE Web UI。

  • CVE-2023-20273

    此漏洞影响Cisco IOS XE,在CVE-2023-20198的活动之后。

  • CVE-2023-27997
    :此漏洞影响Fortinet FortiOS和FortiProxy SSL-VPN。

  • CVE-2023-34362
    :此漏洞影响Progress MOVEit传输。

  • CVE-2023-22515
    :此漏洞影响Atlassian Confluence数据中心和服务器。

  • CVE-2021-44228
    这个漏洞被称为Log4Shell,它影响了Apache的Log4j库,这是一个集成到全球数千种产品中的开源日志框架。

  • CVE-2023-2868

    这是一个远程命令注入漏洞,会影响Barracuda Networks电子邮件安全网关(ESG)设备。

  • CVE-2022-47966
    :
    这是一个未经验证的远程代码执行漏洞,会影响使用Zoho ManageEngine的多个产品。

  • CVE-2023-27350
    :此漏洞影响PaperCut MF/NG。

  • CVE-2020-1472
    :此漏洞影响Microsoft Netlogon。

  • CVE-2023-42793
    :此漏洞会影响JetBrains TeamCity服务器。

  • CVE-2023-23397
    :此漏洞影响Microsoft Office Outlook。

  • CVE-2023-49103
    :此漏洞影响ownCloud graphapi。

表1 2023年15大经常被利用的漏洞

其他经常被利用的漏洞

除表 1 中列出的15 个漏洞外,编写机构还发现了其他恶意网络行为者在2023 年经常利用的漏洞,如表2 所列。

表2 2023年其他经常被利用的漏洞

缓解措施

供应商和开发商

创作机构建议供应商和开发人员采取以下步骤来帮助确保他们的产品在设计和默认情况下是安全的:
– 识别重复利用的漏洞类别。

  • 确保企业领导对安全负责。
  • 跟随SP 800-218 
    SSDF
    并在SDLC的每个阶段实施安全的设计实践;特别是,旨在执行以下SSDF建议:

  • 默认情况下,将生产就绪产品配置为最安全的设置,并就更改每个设置的风险提供指导

  • 确保发布的简历包含正确的CWE字段
    确定漏洞的根本原因,以便对软件安全性和设计缺陷进行行业范围的分析。

最终用户组织

创作机构建议最终用户组织实施以下缓解措施,以根据威胁参与者的活动改善其网络安全状况。这些缓解措施与CISA和国家标准与技术研究所(NIST)制定的跨部门网络安全性能目标(CpG)相一致。CpG提供了CISA和NIST建议所有组织实施的一套最基本的实践和保护措施。CISA和NIST的CpG基于现有的网络安全框架和指南,以防范最常见和最具影响力的威胁、战术、技术和程序。参观CISACPGs网页有关CpG的更多信息,包括其他推荐的基线保护。

漏洞和配置管理

  • 及时更新IT网络资产上的软件、操作系统、应用程序和固件 

  • 定期执行自动化资产发现
    对整个房地产的所有系统、服务、硬件和软件进行识别和分类。

  • 实施强大的补丁程序管理流程
    以及建立修补程序应用程序优先级的集中式修补程序管理系统

  • 记录所有IT/OT组件的安全基准配置,包括云基础架构。

  • 定期执行安全的系统备份
    并创建所有设备配置的已知良好副本以供修理和/或恢复。
  • 维护更新的网络安全事件响应计划
    至少每年测试一次,并在风险知情的时间框架内更新,以确保其有效性

身份和访问管理

  • 对所有用户实施防网络钓鱼多因素身份验证(MFA)
    无一例外地
    在所有VPN连接上实施MFA。如果MFA不可用,要求从事远程工作的员工使用强密码。

  • 定期审查、验证或删除非特权帐户
    (至少每年一次)

  • 根据最低权限原则配置访问控制

保护控制和架构

  • 正确配置和保护面向互联网的网络设备
    禁用未使用或不必要的网络端口和协议,加密网络流量,禁用未使用的网络服务和设备
  • 强化常用的企业网络服务,包括本地链路多播名称解析(LLMNR)协议、远程桌面协议(RDP)、通用互联网文件系统(CIFS)、活动目录和OpenLDAP。
  • 管理Windows密钥分发中心(KDC)帐户(例如KRBTGT ),以最大限度地减少金券攻击和Kerberos发布。
  • 严格控制本机脚本应用程序的使用,如命令行、PowerShell、WinRM、Windows Management Instrumentation(WMI)和分布式组件对象模型(DCOM)。

  • 实施零信任网络架构(ZTNA)
    通过控制对应用程序、设备和数据库的访问来限制或阻止横向移动。使用专用虚拟局域网。

  • 持续监控攻击面
    并调查可能表明网络参与者或恶意软件横向移动的异常活动

  • 使用安全工具,例如端点检测和响应(EDR)以及安全信息和事件管理(SIEM)工具。
  • 考虑使用信息技术资产管理(ITAM)解决方案,以确保EDR、SIEM、漏洞扫描器和其他类似工具报告相同数量的资产。
  • 使用web应用程序防火墙来监控和过滤web流量。
  • 这些工具通过硬件、软件和基于云的解决方案在市场上销售,可以检测和缓解网络参与者向未打补丁的设备发送恶意web请求的攻击企图
  • 实施管理策略和/或自动化流程,配置为根据指定的许可版本监控不需要的硬件、软件或程序。

供应链安全

  • 减少第三方应用程序和独特的系统/应用程序构建
    —仅在需要支持关键业务功能时提供例外
  • 确保合同要求供应商和/或第三方服务提供商:
  • 在风险通知时限内提供安全事件和漏洞通知
  • 为所有产品提供软件材料清单(SBOM ),以加强漏洞监测,并帮助减少对已发现的漏洞作出反应的时间
  • 请您的软件提供商讨论他们的安全设计计划,
    提供链接,介绍他们如何努力消除漏洞类别,以及如何设置安全的默认设置。
    下方扫码下载文件

网络安全攻防

(防御加固、威胁情报、渗透测试、漏洞、代码审计、勒索病毒、CTF、逆向)

相关资料自助下载

|
 –