【国际视野】美国网络安全和基础设施安全局、美国联邦调查局、澳大利亚网络安全中心等多机构联合发布《2023年最常被利用的漏洞》公告

“

天极按

近日，美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI) 和国家安全局(NSA)澳大利亚网络安全中心（ACSC）等多机构联合发布《2023年最常被利用的漏洞》公告。公告提供了由编写机构收集和汇编的2023年恶意网络行为者日常和频繁利用的通用漏洞披露（CVE）及其相关的通用缺陷枚举（CWE）的详细信息。与2022 年相比，2023年恶意网络行为者利用更多的零日漏洞入侵企业网络，使其能够对高优先级目标开展行动。

编写机构强烈建议供应商、设计人员、开发人员和最终用户组织实施以下建议以及本建议中 “缓解措施 ”部分的建议，以降低被恶意网络行为者入侵的风险。

目的

编写机构为履行各自的网络安全使命，包括制定和发布网络安全规范和缓解措施的责任，制定了本文件。

技术细节

主要发现

与2022 年相比，2023年恶意网络行为者利用更多的零日漏洞入侵企业网络，使他们能够对更高优先级的目标开展网络行动。在2023 年，大多数最常被利用的漏洞最初都是作为零日漏洞被利用的，这比2022 年有所增加，在2022 年，不到一半的最常被利用的漏洞是作为零日漏洞被利用的。

恶意网络行为者在漏洞公开披露后两年内利用漏洞的成功率仍然最高。随着时间的推移，越来越多的系统被修补或替换，这些漏洞的效用也随之下降。当国际网络安全努力缩短零日漏洞的寿命时，恶意网络行为者从零日漏洞中发现的效用就会减少。

网络安全工作应包括：

实施以安全为中心的产品开发生命周期。软件开发人员部署修补程序来修复软件漏洞往往是一个漫长而昂贵的过程，对于零日漏洞来说尤其如此。在整个产品开发生命周期中使用更强大的测试环境并实施威胁建模，可能会减少产品的整体漏洞。
加强对负责任的漏洞披露的激励。全球努力减少漏洞披露的障碍，可以限制恶意网络行为者利用零时差漏洞。例如，制定漏洞报告漏洞赏金计划，允许研究人员因其对漏洞研究的贡献而获得补偿和认可，这可能会促进漏洞的披露。
使用先进的端点检测和响应（EDR）工具。终端用户利用EDR 解决方案可提高零日漏洞利用的检测率。大多数零日漏洞（包括去年排名前15 位的漏洞中的至少三个）都是在终端用户或EDR 系统报告可疑活动或异常设备故障时被发现的。

最常被利用的漏洞

表1 列出了编写机构观察到的恶意网络行为者在2023 年经常利用的前15 个漏洞，下文还将讨论这些漏洞的详细信息。

CVE-2023-3519：该漏洞影响Citrix NetScaler ADC 和NetScaler Gateway。
○允许未经身份验证的用户通过使用HTTP GET 请求在NSPPE 进程中导致堆栈缓冲区溢出。
CVE-2023-4966：此漏洞会影响 Citrix NetScaler ADC 及NetScaler Gateway。
○允许会话令牌泄漏；2023年 10月披露了此漏洞的概念验证。
CVE-2023-20198：此漏洞影响Cisco IOS XE Web UI。
○允许未经授权的用户获得初始访问权限，并发布命令创建本地用户和密码组合，从而能够以正常用户访问权限登录。
CVE-2023-20273：继CVE-2023-20198 之后，此漏洞影响Cisco IOS XE。
○创建本地用户后，允许权限升级到root 权限。
CVE-2023-27997：此漏洞影响Fortinet FortiOS 和FortiProxy SSL-VPN。
○ 允许远端使用者製作特定要求以执行任意程式碼或指令。
CVE-2023-34362：此漏洞会影响 Progress MOVEit Transfer。
○ 允许滥用 SQL注入漏洞获取系统管理员API 访问令牌。
○ 允许恶意网络行为者滥用反序列化调用，通过此访问获取远程代码执行。
CVE-2023-22515：此漏洞影响Atlassian Confluence 数据中心和服务器。
○ 允许利用不当输入验证问题。

任意 HTTP参数可通过 XWorks2中间件转换为getter/setter 序列，进而允许在运行时修改Java 对象。
利用漏洞可创建新的管理员用户并上传恶意插件，从而执行任意代码。

CVE-2021-44228：这个名为Log4Shell 的漏洞会影响Apache 的Log4j 库，这是一个开源日志框架，已集成到全球数千种产品中。
○ 允许执行任意代码。

行为者可通过向存在漏洞的系统提交特制请求来利用此漏洞，从而导致执行任意代码。
请求允许网络行为者完全控制系统。
网络行为者随后可以窃取信息、启动勒索软件或进行其他恶意活动。
恶意网络行为者在 2021年 12月公开披露该漏洞后开始利用该漏洞。

CVE-2023-2868 漏洞：这是一个远程命令注入漏洞，影响梭子鱼网络电子邮件安全网关(ESG) 设备。
○ 允许个人未经授权访问并通过ESG 设备远程执行系统命令。
CVE-2022-47966：这是一个未经验证的远程代码执行漏洞，影响使用Zoho ManageEngine 的多个产品。
○ 通过向 ServiceDesk Plus SAML 端点提供伪造的SamlResponse XML，未经身份验证的用户可执行任意代码。
CVE-2023-27350：此漏洞会影响PaperCut MF/NG。
○ 允许恶意网络行为者通过滥用内置脚本功能来执行代码，从而绕过身份验证漏洞。

CVE-2020-1472：此漏洞影响Microsoft Netlogon。
○ 允许提权。

未经授权的用户可使用非默认配置，通过使用Netlogon 远程协议与域控制器建立易受攻击的Netlogon 安全通道连接。注：自2021 年起，此CVE 已被列入最常被利用的漏洞列表。
CVE-2023-42793：此漏洞可影响JetBrains TeamCity 服务器。
○ 允许身份验证绕过，从而允许对有漏洞的JetBrains TeamCity 服务器执行远程代码。

CVE-2023-23397：此漏洞會影響Microsoft Office Outlook。
○ 允许提权。

威胁行为者可发送特制电子邮件，Outlook客户端在处理该电子邮件时将自动触发该电子邮件。
即使没有用户交互，也可利用此漏洞。

CVE-2023-49103：此漏洞影响ownCloud graphapi。
○ 允许未经身份验证的信息披露。

未经身份验证的用户可访问敏感数据，如管理员密码、邮件服务器凭据和许可证密钥。

表1：2023年常被利用的 15大漏洞

其他经常被利用的漏洞

除表 1 中列出的15 个漏洞外，编写机构还发现了其他恶意网络行为者在2023 年经常利用的漏洞，如表2 所列。

表 2：2023年经常被利用的其他漏洞

缓解措施

供应商和开发人员

编写机构建议供应商和开发人员采取以下步骤，帮助确保其产品在设计和默认情况下是安全的：

识别重复被利用的漏洞类别。
○ 对 CVE和已知被利用漏洞 (KEV)进行分析，以了解哪些漏洞类别比其他漏洞类别更容易被识别。
○ 实施适当的缓解措施，消除这些类别的漏洞。
○ 如果产品存在多个SQL 注入漏洞实例，确保产品中的所有数据库查询都使用参数化查询，并禁止其他形式的查询。
确保业务领导对安全负责。
○ 业务领导应确保其团队采取积极措施消除整类安全漏洞，而不是在发现新漏洞时才进行一次性修补。
遵循 SP 800-218 SSDF，在 SDLC的每个阶段实施安全设计实践；特别是要执行以下SSDF 建议：
○ 尽可能优先使用内存安全语言[SSDF PW 6.1]。
○ 在选择软件组件（如软件库、模块、中间件、框架）时要尽职尽责，以确保消费软件产品的稳健安全性[SSDF PW 4.1]。
○ 建立安全的软件开发团队实践，这包括开展同行代码审查、按照共同的组织安全编码标准工作，以及保持对特定语言安全问题的认识[SSDF PW.5.1、PW.7.1、PW.7.2]。
○建立漏洞披露计划，以验证和解决由组织内部或外部人员披露的安全漏洞[SSDF RV.1.3] 并建立流程，以确定已发现漏洞的根本原因。
○使用静态和动态应用程序安全测试(SAST/DAST) 工具分析产品源代码和应用程序行为，以检测容易出错的做法[SSDF PW.7.2, PW.8.2]。
配置可投入生产的产品，使其具有最安全的默认设置，并就更改每个设置的风险提供指导[SSDF PW.9.1, PW9.2]。
○ 优先考虑默认安全配置，如取消默认密码、通过现代开放标准实施单点登录(SSO) 技术，以及向客户提供无需额外配置且不收取额外费用的高质量审计日志。
确保发布的 CVE包括适当的 CWE字段，以识别漏洞的根本原因，从而在全行业范围内对软件安全和设计缺陷进行分析。

最终用户组织

编写机构建议最终用户组织实施以下缓解措施，以根据威胁行为者的活动改善其网络安全态势。这些缓解措施与CISA 和国家标准与技术研究院(NIST) 制定的跨部门网络安全性能目标(CPG) 相一致。CPGs提供了一套CISA 和NIST 建议所有组织实施的最低实践和保护措施。CISA和NIST 以现有网络安全框架和指南为基础，制定了CPGs，以防范最通用、影响最大的威胁、战术、技术和程序。请访问CISA 的CPGs 网页，了解有关CPGs 的更多信息，包括其他建议的基准保护措施。

漏洞与配置管理

及时更新 IT 网络资产上的软件、操作系统、应用程序和固件 [CPG 1.E]。
○ 优先修补KEV，尤其是本公告中确定的CVE，然后是可在面向互联网的设备上执行远程代码或拒绝服务的关键和高危漏洞。
有关本公告中确定的 CVE 的补丁信息，请参阅附录：顶级漏洞的补丁信息和其他资源。
○ 如果无法快速应用KEV 或关键漏洞的修补程序，请实施供应商批准的变通方法。
○ 更换报废软件（即供应商不再支持的软件）
例行对整个系统进行自动资产发现，以识别所有系统、服务、硬件和软件并编制目录。
实施强大的补丁管理流程和集中式补丁管理系统，确定补丁应用程序的优先级 [CPG 1.A]。
○ 无法对面向互联网的系统进行快速扫描和修补的组织应考虑将这些服务转移到成熟、信誉良好的云服务提供商(CSP) 或其他托管服务提供商(MSP)。
○ 信誉良好的MSP可以为客户的应用程序（如网络邮件、文件存储、文件共享、聊天和其他员工协作工具）打补丁。注：MSP和CSP可能会扩大客户的攻击面，并可能带来意想不到的风险，因此组织应积极与其MSP 和CSP 合作，共同降低风险[CPG1.F]。
记录所有 IT/OT 组件（包括云基础设施）的安全基线配置。
○ 监控、检查并记录任何偏离初始安全基线的情况[CPG 2.O]。
定期执行安全系统备份，并创建所有设备配置的已知良好副本，以便进行修复和/或恢复。
○ 将副本存储在物理安全的非网络位置，并定期进行测试[CPG 2.R]。
维护最新的网络安全事件响应计划，该计划至少每年测试一次，并在风险知情的时限内更新，以确保其有效性[CPG 2.S]。

身份和访问管理

无一例外地对所有用户实施防网络钓鱼的多因素身份验证 (MFA)[CPG 2.H]。

对所有 VPN 连接执行 MFA。
○ 如果无法提供多因素身份验证，则要求从事远程工作的员工使用强密码[CPG 2.A、2.B、2.C、2.D、2.G]。

定期审查、验证或删除无权限账户（至少每年一次）[CPG 2.D、2.E]。

根据最小特权原则配置访问控制[CPG 2.O]。
○ 确保软件服务账户仅提供必要的权限（最小权限）以执行预期功能（在可行的情况下使用非管理权限）。

保护性控制和架构

正确配置面向互联网的网络设备并确保其安全，禁用未使用或不必要的网络端口和协议，加密网络流量，禁用未使用的网络服务和设备[CPG 2.V、2.W、2.X]。
○ 加固常用的企业网络服务，包括链路本地组播名称解析(LLMNR) 协议、远程桌面协议(RDP)、通用互联网文件系统(CIFS)、活动目录和OpenLDAP。
○管理Windows 密钥分发中心(KDC) 账户（如KRBTGT），最大限度地减少勒索攻击和Kerberoasting攻击。
○严格控制本地脚本应用程序的使用，如命令行、PowerShell、WinRM、Windows Management Instrumentation (WMI) 和分布式组件对象模型(DCOM)。
实施零信任网络架构（ZTNA），通过控制对应用程序、设备和数据库的访问，限制或阻止横向移动。使用专用虚拟局域网[CPG 2.F, 2.X]。
持续监控攻击面，调查可能表明网络行为者或恶意软件横向移动的异常活动[CPG 2.T]。
○使用安全工具，如端点检测和响应(EDR) 以及安全信息和事件管理(SIEM) 工具。
考虑使用信息技术资产管理(ITAM) 解决方案，确保EDR、SIEM、漏洞扫描仪和其他类似工具报告相同数量的资产[CPG 2.T、2.V]。
○使用网络应用防火墙监控和过滤网络流量。
这些工具可通过硬件、软件和基于云的解决方案在市场上买到，并可检测和减少网络行为者向未打补丁设备发送恶意网络请求的利用企图[CPG 2.B、2.F]。
○实施管理策略和/或自动流程，根据指定的、已批准版本的允许列表监控不需要的硬件、软件或程序[CPG 2.Q]。

供应链安全

减少第三方应用程序和独特的系统/应用程序构建，仅在需要支持关键业务功能时才提供例外[CPG 2.Q]。
确保合同规定供应商和/或第三方服务提供商必须：
○在风险知情的时限内通知安全事件和漏洞[CPG 1.G、1.H、1.I]。
○为所有产品提供软件物料清单(SBOM)，以加强漏洞监控，并帮助缩短对发现的漏洞做出反应的时间[CPG 4.B]。
要求软件供应商讨论其安全设计计划，提供链接，介绍他们如何努力消除各类漏洞，并设置安全的默认设置。

往期回顾

END

天极智库聚焦网络安全相关领域，聚集网络安全职能部门、行业主管部门、科研院所、相关企业和专家学者的力量，组织开展政策研判、事件分析、技术研究、学术交流，为国家网络安全工作提供支撑，增强国家网络空间安全防御能力，提升国家关键信息基础设施安全保障能力和水平。