五眼聯盟日前發布了新的網路安全公告 AA24-317A,主題是「最常被利用的漏洞」,這份資訊安全的公告由以下機構共同撰寫:
美國:網路安全和基礎設施安全局(CISA)、聯邦調查局(FBI)和國家安全局(NSA)
澳洲:澳洲信號局的澳洲網路安全中心(ACSC)
加拿大:加拿大網路安全中心(CCCS)
紐西蘭:紐西蘭國家網路安全中心(NCSC-NZ)和紐西蘭電腦緊急應變小組(CERTNZ)
英國:國家網路安全中心(NCSC-UK)
以上五國的網路安全機構,也就是我們稱五眼聯盟的主要國家。
該公告提供了2023年被惡意網路攻擊者經常利用的常見漏洞和暴露(CVE)以及相關的常見弱點枚舉(CWE)的詳細信息。與去年整合公布的2022年網路安全報告相比,2023年惡意網路攻擊者利用了更多的零日漏洞來入侵企業網路,並對於高優先級目標進行操作。 (較高價值的目標)
下列是這次列出的 15 個最常被利用的資安漏洞:
CVE-2023-3519: Citrix NetScaler ADC 和 NetScaler Gateway 的堆棧緩衝區溢出漏洞。
CVE-2023-4966: Citrix NetScaler ADC 和 NetScaler Gateway 的會話令牌洩漏漏洞。
CVE-2023-20198: Cisco IOS XE Web UI 的未授權訪問漏洞。
CVE-2023-20273: Cisco IOS XE 的提權漏洞。
CVE-2023-27997: Fortinet FortiOS 和 FortiProxy 的 SSL-VPN 遠程代碼執行漏洞。
CVE-2023-34362: Progress MOVEit Transfer 的 SQL 注入漏洞。
CVE-2023-22515: Atlassian Confluence 的不正確輸入驗證漏洞。
CVE-2021-44228: Apache Log4j(Log4Shell)的任意代碼執行漏洞。
CVE-2023-2868: Barracuda Networks Email Security Gateway 的命令注入漏洞。
CVE-2022-47966: Zoho ManageEngine 的未授權遠程代碼執行漏洞。
CVE-2023-27350: PaperCut MF/NG 的認證繞過和代碼執行漏洞。
CVE-2020-1472: Microsoft Netlogon 的提權漏洞。
CVE-2023-42793: JetBrains TeamCity 的身份驗證繞過漏洞。
CVE-2023-23397: Microsoft Office Outlook 的提權漏洞。
CVE-2023-49103: ownCloud GraphAPI 的敏感數據洩漏漏洞。
該公告強烈建議產業的供應商、設計師、開發人員和終端使用者的單位組織 (如公司、學校或法人)去實施相關的建議,以及包括公告中「緩解措施」部分的建議,以降低被惡意網路攻擊者入侵的風險:
他們也建議供應商、設計師和開發人員:
在軟體開發生命週期(SDLC)的每個階段實施「安全設計和默認」原則和策略,以減少軟體中的漏洞。
遵循《安全軟體開發框架(SSDF)》並在SDLC的每個階段實施安全設計實踐。
建立協調的漏洞披露計劃,包括確定已發現漏洞根本原因的流程。
優先考慮修復已知被惡意攻擊者利用的漏洞。
建議各公司與相關單位的資訊管理部門:
即時部署與更新由原廠、供應商提供的安全更新。
實施強大的身份驗證機制,如多因素身份驗證(MFA)。
定期進行網路安全評估和滲透測試,以識別和修復潛在的安全弱點。
我們從這份公告中,可以發現一些榜上常客,包括Cisco、Fortinet、微軟、Apple等等,但畢竟都是很多人使用的大廠,也會被駭客列為高優先級別目標。而日常資安維護作業中,如果你有做好修補的話,擔心程度就可以降低。
而五眼聯盟歷年報告也有提到,駭客其實就會把近年市場揭露之資安漏洞優先進行攻擊,畢竟這樣的成功率會比較高,很多漏洞是各家機構都還沒有更新或修補好的,或資訊人員、資安人員還沒有時間部署更新改善的漏洞。
五眼聯盟針對各國的資安工作也有下建議:
實施以安全為核心的產品開發生命週期:
軟體開發人員修補軟體漏洞(特別是零日漏洞)的過程通常既漫長又昂貴。因此,在產品開發生命週期中,採用更強大的測試環境以及威脅建模,可以有效減少產品整體漏洞的數量。
提升負責任漏洞披露的激勵機制:
全球推動降低負責任漏洞披露的障礙,能限制惡意網路攻擊者對ZeroDay漏洞的利用。例如,建立漏洞回報賞金計畫(Bug Bounty Program),讓研究人員因其漏洞研究的貢獻獲得報酬與認可,可增加漏洞披露的意願。
使用先進的端點檢測與回應(EDR)工具:
終端用戶採用EDR解決方案,可能提高零日漏洞的檢測率。大多數ZeroDay漏洞的發現,包括去年15個主要漏洞中的至少3個,均源於終端用戶或EDR系統報告的可疑活動或裝置異常情況,這表示我們部署在大家筆電或桌機的端點軟體很重要。
本文題圖和內文的人物圖片,採用 Flux.1 Dev AI產圖模型生成