内存安全周报第90期 | X-Force研究发布2021年10大漏洞
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
X-Force研究发布2021年10大漏洞(5.5)
根据IBM公司旗下的X-Force研究团队2022年的威胁情报指数,从2020年到2021年,由漏洞利用导致的报告事件数量增加了33%,这些被利用的漏洞中大部分是新发现的。该团队还发现,最常见的三种感染手段依次为网络钓鱼、漏洞利用和凭证窃取。网络犯罪分子正在寻找新的途径,通过识别网络环境中的弱点或CVE来绕过安全防御。
以下为该报告中2021年的10漏洞情况。
详细情况
2021年最引人注目的CVE之一是Log4J或Log4Shell (CVE-2021-44228)。尽管Log4j漏洞在去年12月才被公开披露,但在不到一个月的时间里,它就成为了2021年十大CVE漏洞中被利用次数第二的漏洞。
被利用次数排在前五的漏洞中有四个是新发现的,而2020年的前十大漏洞中仅有两个为新发现漏洞。这一趋势表明,以前未知的被利用的漏洞数量明显增加,总体攻击面正在迅速扩大。2021年的10大漏洞中,最老的漏洞被披露了4年,而2020年中最老的漏洞披露达10年之久。这一趋势可能表明威胁行为者正在寻找新的感染载体。攻击者还经常迅速利用在广泛应用程序和平台(如Apache和Microsoft Exchange服务器)中容易利用和发现的新漏洞;利用在易受攻击的组织部署补丁之前的窗口期发起攻击。
根据X-Force的数据,2021年发现了19,649个漏洞,以下为利用次数前十的漏洞:
1. CVE-2021-34523 — Microsoft Exchange服务器漏洞,允许攻击者绕过身份验证并冒充管理员,一般称为ProxyLogon
2. CVE-2021-44228 —Apache Log4j库中的漏洞,即Log4Shell
3. CVE-2021-26857 — Microsoft Exchange 服务器中远程代码执行漏洞
4. CVE-2020-1472 — Netlogon特权提升漏洞
5. CVE-2021-27101 — Accellion FTA 服务器易受SQL注入影响的漏洞
5. CVE-2020-7961 — Liferay Portal中对不可信数据的反序列化漏洞,允许通过JSON web服务远程执行代码
7. CVE-2020-15505 — MobileIron漏洞,允许远程代码执行
8. CVE-2018-20062 — NoneCMS ThinkPHP远程代码执行漏洞
9. CVE-2021-35464 — ForgeRock AM服务器的Java反序列化漏洞,允许远程代码执行
10. CVE-2019-19781 — Citrix服务器中的路径遍历漏洞
针对这些漏洞,企业可以采用强大的纵深防御安全措施来保护其业务,但无论如何不可能做到百分之百地保护。威胁行为者总是在针对受害者开发更复杂的战术、技术和程序(TTP),并寻找全新、具有创造性的途径来感染和利用个人与组织。而这些尚未公开披露或发现的漏洞称为0day(零日)漏洞,同样对企业网络构成重大威胁。
尽管未知漏洞很难防御,但X-Force评估发现已知的漏洞对组织整体构成的威胁更大。针对漏洞防护,企业可以采用分层的方法识别、优先排序和修复已经暴露的漏洞,大大降低风险级别,甚至可能提供良好的投资回报率(ROI)。
事实证明,在网络安全领域2021年是网络罪犯利用新威胁和漏洞影响全球受害者的又一个多产的年份。想要了解2021年的网络安全趋势,请查看完整的X-Force威胁情报指数报告。
参考链接
