2023年最易被利用的漏洞

发布于 作者:

2023年最易被利用的漏洞

何威风 河南等级保护测评 2024-11-15 16:00

根据五眼情报联盟政府机构的数据,2023年最常被利用的漏洞大多最初都是以零日漏洞的形式被利用的。

一份汇总数据 的
咨询报告显示
,与上一年相比
,2023年利用零日漏洞攻击企业网络的情况显著增加。上一年,被利用的顶级漏洞中只有不到一半是以零日漏洞的形式被发现的。

数据显示,威胁行为者在漏洞公开披露后的两年内继续成功利用漏洞。
这些机构表示:“随着越来越多的系统得到修补或替换,这些漏洞的实用性会随着时间的推移而下降。当国际网络安全努力缩短零日漏洞的寿命时,恶意网络行为者发现零日漏洞的实用性会降低
。”

以安全为中心的产品开发生命周期的实施、增加负责任的漏洞披露的激励以及使用复杂的端点检测和响应 (EDR) 工具,应该有助于缩短零日漏洞的寿命。

2023 年最容易被利用的漏洞列表以
CVE-2023-3519

CVE-2023-4966
开头,这两个漏洞是 Citrix NetScaler ADC 和 Gateway NetScaler 实例中的两个严重程度极高的漏洞,已于去年7月和10月进行了修补,但在前几个月都曾被用作零日漏洞进行利用。

该机构还重点介绍了
CVE-2023-20198和CVE-2023-20273
,这两个思科 IOS XE漏洞已于2023年10月修补,此前它们被用作零日漏洞,导致以 root权限执行命令。

Fortinet的防火墙也经常成为攻击目标,去年有威胁行为者利用
CVE-2023-27997
零日漏洞。攻击者无需身份验证即可远程利用此严重性漏洞在易受攻击的 FortiOS 和 FortiProxy 实例上执行任意代码。

被追踪为
CVE-2023-34362 的
MOVEit Transfer 管理文件传输 (MFT) 软件中的一个严重 SQL 注入漏洞在 Cl0p 黑客
活动
中被利用为零日漏洞,影响了超过 2,770 个组织和近 9600 万个人,该漏洞也是去年最常被利用的漏洞之一。

该机构表示,去年披露的另一个经常在攻击中使用的零日漏洞是
CVE-2023-2868
,这是 Barracuda 电子邮件安全网关 (ESG) 设备中的一个远程命令注入问题,在被发现之前已被利用了数月。

Microsoft Outlook 也经常成为恶意攻击的目标,去年威胁行为者被发现使用
CVE-2023-23397
,这是一个零点击漏洞,在补丁发布之前,一个俄罗斯 APT 已经将其作为零日漏洞利用了整整一年。

该列表还包括
CVE-2023-22515
,这是 Atlassian Confluence 数据中心和 Confluence 服务器中的一个严重的不当授权缺陷,在 2023 年 10 月下旬公开披露后不到一周就开始被利用。

在公开披露后的几天内,威胁行为者还开始利用
PaperCut NG/MF 打印管理软件中的远程代码执行漏洞CVE 
– 

2023-39143
、TeamCity CI/CD 服务器中的身份验证绕过漏洞 CVE-2023-42793 以及
ownCloud
中的信息泄露问题 CVE-2023-49103。

去年经常被利用的旧安全缺陷包括
臭名昭著的 Log4Shell 漏洞
CVE 
-2021-44228
、Zoho ManageEngine 漏洞 CVE-2022-47966 和
关键的 Windows Netlogon 远程协议 (MS-NRPC) 漏洞 (称为 Zerologon) 
CVE-2020-1472 。

政府机构警告称,苹果、Atlassian、思科、大华、F5、FatPipe、Fortinet、Fortra、GitLab、Ivanti、瞻博网络、微软、Netwrix、Novi、Progress Telerik、RARLAB、Sophos、Unitronics 和 Zoho 等公司产品中的另外 32 个漏洞已频繁被利用。

建议供应商和开发人员识别经常被利用的漏洞类别并实施缓解措施来消除它们,实施安全的设计实践,默认使用最安全的设置配置可用于生产的产品,并列出每个已发布CVE的根本原因。

组织应遵循安全最佳实践,包括实施强大的补丁管理流程、执行自动资产发现、定期备份系统、维护更新的网络安全事件响应计划、实施强密码和防网络钓鱼多因素身份验证 (MFA),以及配置最小特权访问控制和零信任网络架构。

— 欢迎关注 往期回顾
 —

精彩回顾:祺印说信安2024之前

230个网络和数据安全相关法律法规规范文件打包下载

单位高层领导参与网络安全不应该只是口头说说

党委(党组)网络安全工作责任制实施办法

“两高一弱”专项下,谈合规下的弱口令

网络被黑?还看“两高一弱” ,原来是不履行网络安全义务惹的祸

>>>网络安全等级保护<<<

网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系

网络安全等级保护:政策与技术“七一”大合集100+篇

网络安全等级保护:安全管理机构

网络安全等级保护:网络安全事件分类分级思维导图

网络安全等级保护:明确测评双方的责任从了解测评过程指南开始(思维导图下载)

>>>数据安全系列<<<

数据安全管理从哪里开始

数据泄露的成本:医疗保健行业

数据安全知识:数据安全策略规划

数据安全知识:组织和人员管理

数据安全知识:数据库安全重要性

数据安全知识:数据整理与数据清理

数据安全知识:什么是数据存储?

数据安全知识:什么是数据风险评估?

数据安全知识:如何逐步执行数据风险评估

数据安全知识:数据风险管理降低企业风险

数据安全知识:数据整理与数据清理

数据安全知识:什么是数据安全态势管理?

数据安全知识:数据库安全重要性

数据安全知识:数据库安全威胁

数据安全知识:不同类型的数据库

数据安全知识:数据库简史

数据安全知识:什么是数据出口?

数据安全知识:什么是数据治理模型?

**>>>错与罚<<<

警惕风险突出的100个高危漏洞(上)

警惕风险突出的100个高危漏洞(下)

警惕“两高一弱”风险及安全防护提示(全集)

不履行网络安全保护义务是违法行为!多家单位被通报!

因侵犯公民个人信息罪 深圳一人被判一年三个月 售卖他人求职简历

公安部网安局:河南开展整治网络谣言专项行动 查处造谣传谣3000余人

四川遂宁公安公布10起涉网违法犯罪典型案例

276人落网!河南新乡警方摧毁特大“网络水军”犯罪团伙

重拳出击严打涉网犯罪 海淀警方守护网络清朗

网警@同学们 暑期这些兼职不能做!

非法出售公民个人信息 网站经营者被判三年有期徒刑

超范围采集公民信息,违法!鹤壁网警出手

一公司高管为泄愤攻击智慧停车收费系统,致上千家停车场无法自动抬杆

重庆某国企因网安责任人履职不到位被约谈

因违规收集使用个人信息等,人保寿险宁波分公司被罚32万,4名责任人同时被罚

回顾长沙市三个区网信开出首张罚单的不同时间和处罚单位类型

上海4人被判刑:5元掌握明星偶像行程?贩卖明星信息4人被判刑!

假期内,网络主播直播约架?郑州警方迅速控制,刑拘十人!网络空间不是法外之地!

网安局:拒不履行网络安全保护义务,处罚!事关备案!

网络水军团灭记:“转评赞”狂刷单 上百人“网络水军”团伙落网

北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点

关于“近20台服务器“沦陷”,3.54亿条个人信息被盗”一点点浅析

>>>其他<<<

2023年10佳免费网络威胁情报来源和工具

重大网络安全事件事后工作很重要

默认安全:对现代企业意味着什么

网络安全知识:什么是事件响应?

网络安全知识:什么是攻击面?

网络安全知识:什么是访问控制列表 (ACL)?

网络安全知识:什么是访问管理?

网络安全知识:什么是访问矩阵?

网络安全知识:什么是账户收集?

网络安全知识:什么是工业控制系统 (ICS) 网络安全?

网络安全知识:什么是暴力攻击?

网络安全知识:什么是安全审计?

网络安全知识:什么是分组密码?

网络安全知识:什么是僵尸网络?

网络安全知识:什么是非对称加密?

网络安全知识:什么是边界网关协议 (BGP)?

网络安全知识:什么是缓冲区溢出?

网络安全知识:网络安全中的EDR是什么?

网络安全知识:什么是身份验证?

网络安全知识:什么是勒索软件?

网络安全知识:什么是授权?

网络安全知识:什么是自治系统?

网络安全知识:什么是蓝队?

网络安全知识:什么是Bind Shell?

网络安全知识:什么是安全网关?

网络安全知识:什么是蓝队?

网络安全知识:什么是防病毒产品?

网络安全知识:什么是横幅抓取?

网络安全知识:什么是堡垒主机?

网络安全知识:什么是引导扇区病毒?

网络安全知识:计算机网络中的桥接器

网络安全知识:什么是广播?

网络安全知识:什么是业务连续性计划?

网络安全知识:什么是基于证书的身份验证?

将人类从网络安全中解放出来

人,是造成网络安全问题的根本原因