揭秘2022年最常被利用的安全漏洞

網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）最近發(fā)布了一份報(bào)告，重點(diǎn)介紹了2022年最常被利用的漏洞。作為占據(jù)全球互聯(lián)網(wǎng)份額比重較大的反向代理，Cloudflare一直處于一個(gè)獨(dú)特的位置，可以監(jiān)測(cè)到CISA提到的常見漏洞（CVE）在互聯(lián)網(wǎng)上是如何被利用的

今天我們想和大家分享一些來自Cloudflare視角的心得體會(huì)。

根據(jù)我們的分析，網(wǎng)絡(luò)上出現(xiàn)的絕大多數(shù)攻擊流量都與CISA在報(bào)告中提到的兩個(gè)CVE有關(guān)：Log4J和Atlassian Confluence代碼注入。雖然CISA/CSA在同一份報(bào)告中討論了更多的漏洞，但我們的數(shù)據(jù)清楚地表明，在報(bào)告中排在前兩名的漏洞對(duì)比其他漏洞在利用量上存在很大差異。

2022年的主要CVE

回顧針對(duì)CISA報(bào)告中特定CVE創(chuàng)建的WAF托管規(guī)則檢測(cè)到的請(qǐng)求量，我們將漏洞按流行程度進(jìn)行了排序：

排名第一的是Log4J（CVE-2021-44228）。這并不奇怪，因?yàn)檫@可能是幾十年來我們見過的所產(chǎn)生的影響最大的漏洞之一，會(huì)觸發(fā)全面的遠(yuǎn)程入侵。第二大漏洞則是Atlassian Confluence代碼注入（CVE-2022-26134）。

排在第三位的是針對(duì)Microsoft Exchange服務(wù)器的三個(gè)CVE組合（CVE-2021-34473、CVE-2021-31207和CVE-2021-34523）。第四位是BIG-IP F5漏洞（CVE-2022-1388），緊隨其后的是兩個(gè)VMware漏洞的組合（CVE-2022-22954和CVE-2022-22960）。最后是另一個(gè)Atlassian Confluence零日漏洞（CVE-2021-26084）。

在比較這五組漏洞的攻擊量時(shí)，我們發(fā)現(xiàn)有一個(gè)漏洞的數(shù)據(jù)結(jié)果非常突出。Log4J漏洞被利用的次數(shù)比第二名（Atlassian Confluence代碼注入）多出一個(gè)數(shù)量級(jí)以上；其余所有CVE被利用的次數(shù)則相對(duì)更少。雖然CISA/CSA報(bào)告將所有這些漏洞歸為一組，但我們認(rèn)為實(shí)際上有兩組：一組是主要的CVE（Log4J），另一組是類似的零日漏洞。兩組的攻擊量相近。

下圖以對(duì)數(shù)尺度清楚地顯示了幾項(xiàng)漏洞流行度的差異。

CVE-2021-44228：Log4J

排名第一的是臭名昭著的CVE-2021-44228，也就是眾所周知的Log4j漏洞。該漏洞在2021年對(duì)整個(gè)網(wǎng)絡(luò)造成了嚴(yán)重干擾，后來一直被廣泛利用。

Cloudflare在漏洞被公布后數(shù)小時(shí)內(nèi)即發(fā)布了新的托管規(guī)則。我們還在隨后幾天發(fā)布了更新的檢測(cè)結(jié)果（博客）。總的來說，我們分三個(gè)階段發(fā)布了應(yīng)對(duì)規(guī)則：

緊急版本：2021年12月10日

緊急版本：2021年12月14日

緊急版本：2021年12月16日

我們部署的規(guī)則可檢測(cè)到四類漏洞利用方式：

Log4j標(biāo)頭：HTTP標(biāo)頭中的攻擊模式

Log4j正文：HTTP正文中的攻擊模式

Log4j URI：URI中的攻擊模式

Log4j正文混淆：混淆攻擊模式

我們發(fā)現(xiàn)，HTTP標(biāo)頭中的Log4J攻擊比HTTP正文中的更為常見。下圖顯示有攻擊者一直在嘗試?yán)迷撀┒矗钡?023年7月仍有明顯的峰值和增長(zhǎng)。

由于改漏洞影響較大，為了引領(lǐng)構(gòu)建更安全、更好的互聯(lián)網(wǎng)，Cloudflare于2023年3月15日宣布，所有訂閱計(jì)劃（包括Free計(jì)劃）用戶都能獲得針對(duì)影響較大的漏洞的WAF托管規(guī)則。這些免費(fèi)規(guī)則可解決影響較大的漏洞問題，例如Log4J漏洞、Shellshock漏洞以及各種廣泛傳播的WordPress漏洞。所有企業(yè)或個(gè)人網(wǎng)站，無論規(guī)模或預(yù)算如何，都可以使用Cloudflare的WAF保護(hù)自己數(shù)字資產(chǎn)。

CVE-2022-26134：Atlassian Confluence代碼注入

Atlassian Confluence代碼注入漏洞是2022年被利用次數(shù)第二多的CVE。這個(gè)漏洞會(huì)對(duì)整個(gè)系統(tǒng)造成威脅，讓許多企業(yè)面對(duì)攻擊者時(shí)都束手無策。這表明，以信息及數(shù)據(jù)處理為基礎(chǔ)的信息管理系統(tǒng)在企業(yè)及組織內(nèi)部已變得極為重要。攻擊者也同樣已經(jīng)認(rèn)識(shí)到這些系統(tǒng)的重要性，因此也正將攻擊目標(biāo)對(duì)準(zhǔn)這類系統(tǒng)。為此，Cloudflare WAF團(tuán)隊(duì)發(fā)布了兩個(gè)緊急版本來保護(hù)客戶：

緊急版本：2022年6月4日

緊急版本：2022年6月7日

在這兩次緊急發(fā)布中，我們向所有WAF用戶提供了兩條規(guī)則：

Atlassian Confluence—代碼注入—CVE:CVE-2022-26134

Atlassian Confluence—代碼注入—擴(kuò)展—CVE:CVE-2022-26134

下圖顯示了每天收到的針對(duì)相關(guān)漏洞攻擊的命中次數(shù)，在經(jīng)歷一個(gè)明顯的峰值之后，隨著系統(tǒng)打上補(bǔ)丁和安全保護(hù)措施的到位而逐漸下降。

針對(duì)Log4J和Confluence代碼注入漏洞的攻擊都表現(xiàn)出一定的季節(jié)性，在2022年9月/11月至2023年3月期間發(fā)動(dòng)的攻擊次數(shù)較多。這可能反映了攻擊者發(fā)起的攻擊行為仍在試圖利用這些漏洞（可以看到在2023年7月底仍有一項(xiàng)攻擊行為正在進(jìn)行中）。

CVE-2021-34473、CVE-2021-31207和CVE-2021-34523：Microsoft Exchange SSRF和RCE漏洞

三項(xiàng)之前未知的漏洞相互串聯(lián)，實(shí)現(xiàn)了遠(yuǎn)程代碼執(zhí)行（RCE）零日攻擊。鑒于Microsoft Exchange服務(wù)器被廣泛采用，這些漏洞對(duì)所有行業(yè)、地區(qū)和部門的數(shù)據(jù)安全和企業(yè)運(yùn)營(yíng)都構(gòu)成了嚴(yán)重威脅。

Cloudflare WAF在緊急版本（2022年3月3日）中發(fā)布了針對(duì)此類漏洞的規(guī)則，其中包含規(guī)則：Microsoft Exchange SSRF和RCE漏洞—CVE:CVE-2022-41040、CVE:CVE-2022-41082。

從下圖中可以看出這些攻擊在過去一年中的變化趨勢(shì)。

CVE-2022-1388：BIG-IP F5中的RCE

如果未經(jīng)身份驗(yàn)證的威脅行為者能夠與BIG-IP系統(tǒng)（一組應(yīng)用程序安全和性能解決方案的F5產(chǎn)品名稱）進(jìn)行網(wǎng)絡(luò)連接，就有可能利用這個(gè)特殊的安全漏洞發(fā)動(dòng)攻擊。攻擊者可以通過管理界面或自行分配的IP地址執(zhí)行不受限制的系統(tǒng)命令。

Cloudflare發(fā)布了一個(gè)緊急版本來檢測(cè)此問題（緊急版本：2022年5月5日），其中包含規(guī)則：命令注入—BIG-IP中的RCE—CVE:CVE-2022-1388。

除了在2023年6月下旬出現(xiàn)的一個(gè)高峰外，相關(guān)攻擊行為模式相對(duì)持平，沒有特定活動(dòng)的跡象。

CVE-2022-22954：VMware Workspace ONE Access和Identity Manager服務(wù)器端模板注入遠(yuǎn)程代碼執(zhí)行漏洞

利用此漏洞，攻擊者可遠(yuǎn)程觸發(fā)服務(wù)器端模板注入，從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。成功利用此漏洞后，未經(jīng)身份驗(yàn)證的攻擊者可通過網(wǎng)絡(luò)訪問Web界面，以VMware用戶身份執(zhí)行任意shell命令。隨后，這個(gè)問題與CVE-2022-22960漏洞被結(jié)合在了一起（CVE-2022-22960是一個(gè)本地權(quán)限升級(jí)漏洞（LPE）問題）。通過結(jié)合使用這兩個(gè)漏洞，攻擊者可遠(yuǎn)程利用Root權(quán)限執(zhí)行命令。

Cloudflare WAF針對(duì)此漏洞發(fā)布了一條規(guī)則：版本：2022年5月5日。利用該漏洞發(fā)起的攻擊行為趨勢(shì)圖如下所示。

CVE-2021-26084:Confluence服務(wù)器Webwork OGNL注入

OGNL注入漏洞被發(fā)現(xiàn)后可能會(huì)讓未經(jīng)身份驗(yàn)證的攻擊者對(duì)Confluence服務(wù)器或數(shù)據(jù)中心實(shí)例執(zhí)行任意代碼。Cloudflare WAF于2022年9月9日針對(duì)此漏洞發(fā)布了緊急版本。與本文中討論的其他CVE相比，我們?cè)谶^去一年中沒有觀測(cè)到大量利用此漏洞的情況。

關(guān)于加強(qiáng)安全防護(hù)的一些建議

我們建議所有服務(wù)器管理員在有修復(fù)程序更新時(shí)及時(shí)更新軟件。Cloudflare客戶（包括我們Free計(jì)劃的客戶）可以利用每周在托管規(guī)則集中更新的新規(guī)則來解決CVE和零日威脅問題。針對(duì)高風(fēng)險(xiǎn)CVE，我們會(huì)有針對(duì)性地及時(shí)發(fā)布緊急版本。除此之外，Enterprise計(jì)劃的客戶還可以訪問WAF Attack Score，這是一種人工智能驅(qū)動(dòng)的檢測(cè)功能，可在基于簽名的傳統(tǒng)規(guī)則基礎(chǔ)之上，識(shí)別未知威脅和繞過嘗試。借助基于規(guī)則和人工智能檢測(cè)的綜合優(yōu)勢(shì)，Cloudflare可針對(duì)已知和新興威脅提供強(qiáng)大且有效的安全防御。

結(jié)語

Cloudflare的監(jiān)測(cè)數(shù)據(jù)能夠作為增強(qiáng)CISA漏洞報(bào)告的有效補(bǔ)充；值得注意的是，我們發(fā)現(xiàn)前兩個(gè)漏洞被利用的次數(shù)比列表中的其他漏洞多出幾個(gè)數(shù)量級(jí)。企業(yè)及組織可以根據(jù)所提供的列表重點(diǎn)開展軟件漏洞修補(bǔ)工作。當(dāng)然，重要的是要注意所有軟件都應(yīng)及時(shí)打好補(bǔ)丁，良好的WAF實(shí)施策略可有效提升安全性，并為底層系統(tǒng)“爭(zhēng)取時(shí)間”，從而針對(duì)現(xiàn)有和未知的漏洞提供有效防護(hù)。