2022年,网络安全漏洞形势空前严峻:高危漏洞数量延续增长趋势,企业安全预算和资源难以跟上黑客工具技术迭代和漏洞增长的速度,人工智能和量子计算等新技术风险加速到来,供应链和第三方风险不断累积,漏洞优先级排序和漏洞修补难度不断加大,暴露面和攻击面不断扩大,MTTR等关键安全运营指标每况愈下,安全风险不断攀升。
根据CNNVD监测数据显示,2022年热点漏洞TOP5分别为ApacheFineract路径遍历漏洞、OpenSSL安全漏洞、SQLite输入验证错误漏洞、AtlassianBitbucketServer和BitbucketDataCenter命令注入漏洞、ApacheCommonsBCEL缓冲区错误漏洞。其中2022年漏洞每月新增数量在1800-2500之间来回波动,预测未来新增漏洞数量仍在此范围区间内,而高危以上漏洞新增数量近一年总体呈现上升趋势。
近期微软、谷歌等国际企业漏洞事件频频亮起红灯,国内外多起重大网络攻击事件,皆为网络犯罪者利用漏洞进行攻击所导致,漏洞在实际网络攻击中产生了非常大的现实威胁,这无一不在提醒我们需要将“漏洞安全”重视起来。根据GoUpSec的统计分析,2022年十大漏洞频发企业分别是:微软、谷歌、苹果、三星、戴尔、IBM、本田、PayPal、美国航空、AMD。
为了帮助企业提高警惕,规避漏洞风险,GoUpSec收集汇编了2022年度的漏洞事件,记录了2022年主要的网络安全漏洞统计数据和信息,漏洞影响的用户数量从几万到上千万不等。希望各位以案例为镜鉴,提高安全防护意识。
1月
微软Exchange惊现2022“新年虫”,紧急修复
微软已针对2022年的新年错误发布了紧急修复程序,该错误会破坏本地MicrosoftExchange服务器上的电子邮件传递。这些错误是由微软Exchange检查FIP-FS防病毒扫描引擎的版本并尝试将日期存储在签名的int32变量中引起的。
AllinOneSEO插件漏洞威胁三百万网站的安全
一个名为AllinOneSEO的非常流行的WordPressSEO优化插件含有一对安全漏洞,当这些漏洞组合成一个漏洞链进行利用时,可能会使网站面临着被接管的风险。有超过300万个网站在使用该插件。Sucuri表示,这对漏洞已经很成熟了,很容易被利用,所以用户应该升级到已打补丁的版本,即4.1.5.3版。
本田、讴歌汽车爆Y2K22千年虫漏洞
继微软Exchange爆2022千年虫漏洞后,本田、讴歌汽车导航系统也被爆出遭遇了Year2022/千年虫bug,bug会重置导航系统的时钟到2002年1月1日,而且没有办法修改。根据用户报告情况,此次bug影响所有的本田、讴歌汽车,包括HondaPilot、Odyssey、CRV、Ridgeline、Odyssey和AcuraMDX、RDX、CSX、TL型号。
中高端WiFi路由器USB共享组件曝出严重漏洞
SentinelOne安全研究人员在无处不在的WiFi路由器的USB共享组件(NetUSB)中发现了一个严重的远程代码执行漏洞(CVE-2021-45388),该漏洞影响了几乎所有支持USB设备共享功能的主流中高端WiFi路由器。
WindowsHTTP协议栈严重漏洞风险通告
奇安信CERT监测到微软官方公开并修复了MicrosoftWindowsHTTP协议栈远程代码执行漏洞(CVE-2022-21907),利用此漏洞不需要身份认证和用户交互,微软官方将其标记为蠕虫漏洞,并建议优先修补受此漏洞影响的服务器。奇安信CERT已复现此漏洞的拒绝服务场景,可导致目标主机崩溃。
9个WiFi路由器存在226个漏洞,TP-Link漏洞数量最多
安全研究人员对当下9种流行WiFi路由器进行测试分析,共发现了226个漏洞,其中包括一些路由器刚刚更新使用了最新的固件。
惠普游戏本曝内核级漏洞,影响全球数百万台计算机
HPOMEN驱动程序软件中存在一个严重漏洞,该漏洞影响全球数百万台游戏计算机。该漏洞被命名为CVE-2021-3437(CVSS评分:7.8),可能允许威胁行为者在不需要管理员权限的情况下将权限提升到内核模式,从而进行禁用安全产品、覆盖系统组件,甚至破坏操作系统的操作。
成人视频网站StripChat数据库泄漏,模特信息“一览无余”
据SecurityAffairs可靠消息,成人视频网站StripChat出现了安全漏洞,导致数百万注册用户和成人模特的个人数据泄露。针对这一泄漏事件,网络安全专家指出,数据库存储信息泄露,可能会给Stripchat用户和模特带来重大隐私风险,威胁行为者可以利用这些数据对他们实施勒索活动。
2月
研究人员在三种WordPress插件中发现高危漏洞
WordPress安全公司Wordfence的研究人员发现一项严重的漏洞,它可以作用于三种不同的WordPress插件,并已影响超过84000个网站。该漏洞的执行代码被追踪为CVE-2022-0215,是一种跨站请求伪造(CSRF)攻击,通用安全漏洞评分系统(CVSS)对其给予8.8的评分。
美国关键基础设施正遭受BlackByte勒索软件入侵
FBI表示,截至2021年11月,BlackByte勒索软件已经侵害多家美国及国外企业,其中包括至少三个美国关键基础设施实体。其重要手段是利用软件漏洞(如Exchange)获取目标企业网络的初始访问权限。尽早更新服务器软件有望阻遏他们的攻势。
Wormhole加密货币平台被窃3260万美元
2月2日,Wormhole称发现平台中存在一个安全漏洞,因此暂时关停该平台。攻击者利用该漏洞利用成功窃取了价值3260万美元的加密货币,其中包括Solana区块链上的12万包装Ethertoken。
微软Exchange服务器被黑客攻击以部署Cuba勒索软件
勒索软件Cub正利用微软Exchange的漏洞进入企业网络并对设备进行加密。知名网络安全公司Mandiant追踪到,使用该勒索软件的团伙名为UNC2596,而勒索软件本身的名字为COLDDRAW。
3月
部分本田车型存在漏洞,黑客可远程启动车辆
研究人员发现一个影响部分Honda(本田)和Acura(讴歌)车型的重放攻击漏洞(CVE-2022-27254),黑客能够利用该漏洞解锁汽车、甚至启动汽车引擎。据悉,发现漏洞问题的是达特茅斯大学两个学生。该学生表示,黑客可以通过该漏洞获得锁定、解锁、控制车窗、打开后备箱和启动目标车辆发动机的访问权限,防止攻击的唯一方法是永远不要使用遥控钥匙,或者在被攻击后,从汽车经销商处重新设置新的钥匙。
国家漏洞库CNNVD:关于Redis代码注入漏洞的预警
国家信息安全漏洞库(CNNVD)收到关于Redis代码注入漏洞(CNNVD-202202-1622、CVE-2022-0543)情况的报送。成功利用此漏洞的攻击者,可在目标服务器远程执行恶意代码,进而控制目标服务器。Redis5.x系列5.0.14以下版本、Redis6.x系列6.0.16以下版本、Redis7.x系列7.0-rc2以下版本均受漏洞影响。
数据中心备用电源(UPS)设备曝3个严重漏洞
Armis公司研究人员在APCSmart-UPS设备中发现了一组三个关键的零日漏洞,这些漏洞可让远程攻击者接管Smart-UPS设备并对物理设备和IT资产进行极端攻击。不间断电源(UPS)设备为关键任务资产提供应急备用电源,可在数据中心、工业设施、医院等场所找到。施耐德电气表示,这些漏洞被归类为“严重”和“高严重性”,影响SMT、SMC、SCL、SMX、SRT和SMTL系列产品。
4月
Spring4Shell漏洞攻击进入爆发期
根据CheckPoint的遥测数据,全球受到Spring4Shell零日漏洞影响的组织中,大约有六分之一已经成为攻击者的目标。CheckPoint表示,仅在过去一个周末就检测到了37000次Spring4Shell攻击。受影响最大的行业似乎是软件供应商,占总数的28%,这可能是因为它们是供应链攻击的理想对象。
三星手机被曝严重安全漏洞
又一家NFT平台曝出重大漏洞,Web3.0安全隐患凸显
安全厂商CheckPoint发现,全球主要NFT平台Rarible存在重大漏洞,用户点击恶意NFT链接,钱包访问权限就会被窃取,资金被盗取;今年4月,中国台湾知名艺人周杰伦就遭到类似攻击,价值50万美元的NFT失窃;安全专家称,在安全性方面,Web2.0与Web3.0基础设施之间仍然存在巨大差距。
北美国家财政系统遭勒索攻击:税务海关停摆,已危及国家稳定?
北美洲国家哥斯达黎加遭到Conti勒索软件攻击,多个部委大量系统受影响瘫痪,大量敏感数据被盗。哥国财政部受影响最严重,纳税人信息被盗引发大众恐慌,税务海关等系统瘫痪多天,导致该国出口业务损失惨重,至少损失2亿美元。哥国总统称攻击者试图破坏国家稳定,并暗指与俄罗斯有关。不过也有安全专家认为,这只是一起普通的金钱勒索,仅仅因为该国系统漏洞太多。
5月
DNS曝高危漏洞,影响数百万物联网设备
NozomiNetworks发出警告,uClibc库的域名系统(DNS)组件中存在一个高危漏洞,编号为CVE-2022-05-02,该漏洞将影响所有版本uClibc-ng库的域名系统(DNS),因此,数百万台使用uClibc库的物联网设备都也将受到影响。
不讲武德!黑客开始利用BIG-IP漏洞“删库”
最近披露的F5BIG-IP高危漏洞已被用于破坏性攻击,攻击者试图擦除设备的文件系统并使服务器无法使用。F5披露了一个编号CVE-2022-1388的高危漏洞,该漏洞允许远程攻击者以“root”身份在BIG-IP网络设备上执行命令而无需身份验证。由于该漏洞的严重性,F5敦促系统管理员尽快应用更新。几天后,研究人员开始在Twitter和GitHub上公开发布漏洞利用程序,全球性攻击已经开始。
BLE蓝牙漏洞可解锁特斯拉、智能门锁、门禁系统和手机
据彭博社报道,NCC集团研究人员发现了一个广泛存在的蓝牙低功耗(BLE)漏洞,可能被用来解锁特斯拉汽车(或其他具备汽车无钥匙进入功能的汽车)、住宅智能门锁、楼宇门禁系统、手机、笔记本电脑和许多其他设备。
支付巨头PayPal曝大漏洞,黑客可直接窃取用户资金
据TheHackerNews消息,昵称为h4x0r_dz的安全研究人员在支付巨头PayPal的汇款服务中发现了一个未修补的大漏洞,可允许攻击者窃取用户账户中的资金。其攻击原理是利用点击劫持技术诱导用户进行点击,在不知不觉中完成交易,最终达到窃取资金的目的。
安卓预装APP被曝高危漏洞,影响数百万用户
微软发现安卓系统中预装APP中的多个安全漏洞,下载量超百万。微软在mce系统移动框架中发现多个高危安全漏洞,漏洞CVE编号分别为CVE-2021-42598、CVE-2021-42599、CVE-2021-42600和CVE-2021-42601,CVSS评分在7到8.9分之间。该框架被多个移动服务提供商用于预装的安卓系统APP中,攻击者利用这些漏洞可以实现本地或远程攻击。
南非总统的个人信贷数据泄露:该国已沦为“黑客乐园”
6月
俄沙虫组织利用Follina漏洞,入侵乌克兰重点机构
乌克兰计算机应急响应小组警告说,俄罗斯黑客组织Sandworm可能正在利用名为Follina的漏洞,这是MicrosoftWindows支持诊断工具中的一个远程代码执行漏洞,编号为CVE-2022-30190,它可以通过打开或选择特制文档来触发其中的安全漏洞,威胁行为者至少自2022年4月以来一直在攻击中利用它。值得注意的是,乌克兰情报机构以中等可信度评估,认为这场恶意活动的背后是“Sandworm”黑客组织。
工控安全火山爆发:“冰瀑”报告披露56个重大OT漏洞
安全研究人员在10家OT供应商的产品中发现56个冰瀑漏洞,这些漏洞表明:工控安全在设计层面就存在根本性的重大问题。受冰瀑漏洞影响的制造商包括本特利内华达(GEBentlyNevada)、艾默生电气(Emerson)、霍尼韦尔(Honeywell)、捷太格特(JTEKT)、摩托罗拉、欧姆龙、菲尼克斯电气(PhoenixContract)、西门子和横河电机(Yokogawa)。
微软云服务爆容器逃逸漏洞,攻击者可接管Linux集群
微软旗下应用程序托管平台ServiceFabric爆出容器逃逸漏洞“FabricScape”,攻击者可以提权控制主机节点,乃至接管平台Linux集群。利用此漏洞,恶意黑客可以提升至root权限,夺取主机节点控制权,进而危及整个SFLinux集群。
7月
万豪国际数据遭泄露,20GB文件被窃取
畅销全球的GPS车载追踪器曝出“灾难性”漏洞
安全公司BitSight宣称在中国产的GPS追踪器MicodusMV720中发现了六个漏洞,MV720是一款畅销全球的售价约20美元的GPS车载定位追踪器。BitSight的安全研究人员认为,其他Micodus跟踪器型号中也可能存在相同的严重漏洞。据报道,Micodus声称其42万名客户共部署了150万台追踪器,客户包括政府、军队、执法机构以及航空航天、航运和制造公司。
关于OpenSSL安全漏洞的通报
国家信息安全漏洞库(CNNVD)收到关于OpenSSL安全漏洞(CNNVD-202207-242、CVE-2022-2274)情况的报送。成功利用此漏洞的攻击者,可造成目标机器内存损坏,进而在目标机器远程执行代码。OpenSSL3.0.4版本受漏洞影响。
Nodejsdll劫持漏洞(CVE-2022-32223)安全风险通告
奇安信CERT监测到NodejsDll劫持漏洞(CVE-2022-32223),在nodejs中存在dll劫持漏洞,攻击者可以通过dll劫持向nodejs内注入恶意dll,从而执行代码,该漏洞影响范围极大。
8月
黑客利用零日漏洞窃取GeneralBytesATM机上的加密货币
TheHackerNews网站披露,比特币ATM机制造商GeneralBytes证实其遭到了网络攻击。攻击者利用服务器中的零日漏洞,从用户处掠夺加密货币。攻击事件发生不久后,GeneralBytes在一份公告中表示,自2020-12-08版本以来,该零日漏洞一直存在于CAS软件中。攻击者通过CAS管理界面,利用页面上的URL调用,远程创建管理员用户。
损失不可估计!网传用友等头部软件厂商遭勒索攻击
关于苹果多个安全漏洞情况的通报
国家信息安全漏洞库(CNNVD)收到关于ApplemacOSMonterey安全漏洞(CNNVD-202208-3348、CVE-2022-32894)和ApplemacOSMonterey安全漏洞(CNNVD-202208-3345、CVE-2022-32893)情况的报送。成功利用漏洞的攻击者可提升本地权限,并执行任意代码。iOS15.6.1以下版本、iPadOS15.6.1以下版本、macOSMonterey12.5.1以下版本受上述漏洞影响。
9月
关于微软多个安全漏洞的通报
微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞62个,影响到微软产品的其他厂商漏洞1个。包括MicrosoftWindowsTCP/IPcomponent安全漏洞、MicrosoftWindows安全漏洞等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
Python曝出15年“老洞”,数十万开源项目受影响
美国航空发生数据泄露事件
10月
深圳证监局通报:某券商OA系统遭攻击,影响移动办公
10月13日,深圳证监局公布了最新一期的证券期货机构监管通讯(2022第5期),其中,通报了一起证券公司网络安全风险管理不规范的风险案例。通报称,近期,辖区某证券公司因网络安全风险管理存在漏洞,导致公司OA系统遭受注入攻击影响公司移动端OA办公。
Windows曝出“最愚蠢的零日漏洞”
卡内基梅隆大学CERT协调中心(CERT/CC)的前软件漏洞分析师WillDormann发现多个微软Windows版本中普遍存在的两个零日漏洞超过90天仍未修补,这些漏洞使攻击者可绕过微软的Web标记(MoTW)安全功能投放恶意软件。
苹果曝严重漏洞,可窃听用户与Siri对话
在苹果近期披露的漏洞中包含了名为SiriSpy的iOS和macOS系统漏洞,使具有蓝牙访问权限的应用程序能够窃听用户与Siri的对话。
第二滴血?OpenSSL3.x曝出严重漏洞
11月
OpenSSL修复的两个高危漏洞到底有多严重?
全球安全人士等来了OpenSSL项目的安全更新版本——OpenSSL3.0.7。新版本修复了此前安全专家在OpenSSL3.0.0及更高版本中发现的两个高危漏洞(CVE-2022-3602和CVE-2022-3786)。根据OpenSSL的安全政策,自10月25日以来,企业IT管理员陆续接到警告需要在其系统环境中排查使用了OpenSSL3.0.x的易受攻击的实例,为OpenSSL3.0.7发布时的修补做好准备。
Log4j漏洞难修补!美国联邦政府遭入侵,FBI称黑手为伊朗黑客
11月17日消息,美国FBI与网络安全与基础设施安全局(CISA)日前发布一份联合报告称,某个由伊朗支持的未具名威胁组织入侵了一个联邦民事行政部门组织,并部署了XMRig加密货币挖矿恶意软件。攻击者利用的是未安装Log4Shell(CVE-2021-44228)远程代码执行漏洞补丁的VMwareHorizon服务器,抓住机会成功入侵了联邦网络。
“去中心化版Twitter”Mastodon曝出严重漏洞
11月23日,安全研究员LeninAlevski警告说社交媒体平台Mastodon的多个实例容易受到系统配置问题的影响。过去一个月,大量Twitter用户因特斯拉创始人埃隆·马斯克接管Twitter所带来的剧变而纷纷“叛逃”到“去中心化版Twitter”——Mastodon。然而,Alevski和GarethHeyes等安全研究人员发现Mastodon安全成熟度很差。
密码神器LastPass承认黑客窃取了客户数据
11月30日,密码管理工具LastPass首席执行官KarimToubba公开承认,通过一个新的漏洞,黑客访问了LastPass的第三方云存储服务器,并获得了部分客户的关键信息。但具体有多少客户因此受到影响,以及黑客窃取了哪些敏感信息暂时未公布。
12月
AMD、ARM、HPE、戴尔等15家服务器厂商产品曝出严重漏洞
AmericanMegatrends的服务器远程管理控制软件MegaRACBMC曝出多个严重漏洞,攻击者可以在特定条件下执行代码、绕过身份验证和执行用户枚举。据悉,这些漏洞是Eclypsium安全研究人员于2022年8月检查AmericanMegatrends泄漏的专有代码(特别是MegaRACBMC固件)后发现的。
超过半数EDR工具存在严重漏洞,数亿端点面临风险
在12月7日举行的欧洲黑帽大会上,SafeBreach安全研究员公布了对多家安全厂商的11种EDR工具的测试结果,其中四家厂商的六种工具存在严重漏洞。受该漏洞影响的主要是那些将删除恶意文件推迟到系统重启后的EDR工具。