五眼情报联盟成员国的网络安全机构近日联合发布了2022年最常被利用的12个漏洞清单，另外还公布了30个受到攻击者“欢迎”的漏洞。

CISA在公告中强调：

到2022年，恶意网络攻击者利用旧软件漏洞的频率比最新披露漏洞的频率更高。许多软件漏洞或漏洞链的概念验证(PoC)代码是公开可用的，这可能导致漏洞被更多攻击者利用。

攻击者通常在漏洞公开披露的头两年内成功利用已知漏洞——随着软件的修补或升级，此类漏洞的价值逐渐下降。及时修补会降低已知可利用漏洞的有效性，可能会降低恶意网络行为者的操作速度，并迫使攻击者寻求成本更高、更耗时的方法（例如开发零日漏洞或进行软件供应链操作）。

攻击者可能会优先利用严重且全球流行的CVE漏洞。虽然经验丰富的攻击者还开发了利用其他漏洞的工具，但开发广泛传播的严重漏洞的利用，可为攻击者提供能使用数年的低成本、高影响力的工具。此外，网络攻击者可能会对特定目标网络中更普遍存在的漏洞给予更高的优先级。

以下为2022年最常被利用的12个漏洞

CVE-2018-13379。该漏洞影响FortinetSSLVPN，在2020年和2021年也经常被利用。该漏洞被持续利用表明许多组织未能及时修补软件，仍易受到恶意网络攻击者的攻击。CVE-2021-34473、CVE-2021-31207、CVE-2021-34523。这组漏洞称为ProxyShell，影响MicrosoftExchange电子邮件服务器。攻击者将这组漏洞利用结合起来能够执行任意代码。这些漏洞存在于Microsoft客户端访问服务(CAS)中，该服务在微软IIS服务器（例如微软的Web服务器）的端口443上运行。CAS通常暴露在互联网上，使用户能够通过移动设备和Web浏览器访问其电子邮件。CVE-2021-40539。此漏洞可在ZohoManageEngineADSelfServicePlus中启用未经身份验证的远程代码执行(RCE)，并且与过时的第三方依赖项的使用有关。该漏洞的首次利用始于2021年底，并持续到2022年。CVE-2021-26084。该漏洞影响AtlassianConfluence服务器和数据中心（政府和私营公司使用的基于网络的协作工具），可能使未经身份验证的网络攻击者能够在易受攻击的系统上执行任意代码。该漏洞在PoC披露后一周内发布，很快成为最常被利用的漏洞之一。2021年9月观察到有人试图大规模利用此漏洞。CVE-2021-44228。此漏洞称为Log4Shell，影响Apache的Log4j库，后者是一个开源日志框架，已融入全球数千种产品中。攻击者可以通过向易受攻击的系统提交特制请求来利用此漏洞，进而执行任意代码，甚至完全控制系统。然后，攻击者可以窃取信息、启动勒索软件或进行其他恶意活动。恶意网络攻击者在2021年12月公开披露该漏洞后开始利用该漏洞，并在2022年上半年继续对CVE-2021-44228表现出高度兴趣。CVE-2022-22954、CVE-2022-22960。这些漏洞允许在VMwareWorkspaceONEAccess、IdentityManager和其他VMware产品中进行RCE、权限提升和身份验证绕过。具有网络访问权限的恶意网络攻击者可能会触发服务器端模板注入，从而可能导致远程代码执行。CVE-2022-22954和CVE-2022-22960的利用于2022年初开始，并在2023年剩余时间内继续进行尝试。CVE-2022-1388。此漏洞允许未经身份验证的恶意网络攻击者绕过F5BIG-IP应用程序交付和安全软件上的iControlREST身份验证。CVE-2022-30190。此漏洞影响Windows中的微软支持诊断工具(MSDT)。未经身份验证的远程网络攻击者可以利用此漏洞来控制受影响的系统。CVE-2022-26134。这个严重的远程代码执行漏洞影响AtlassianConfluence和DataCenter。该漏洞最初可能是在2022年6月公开披露之前作为零日漏洞被利用，它与较早的Confluence漏洞(CVE-2021-26084)相关。

在12个最常被利用的漏洞清单之外，五眼联盟情报机构之一的NCSC还公布了30个其他经常被利用的漏洞，例如：Citrix(CVE-2019-19781)、微软(CVE-2017-0199、CVE-2017-11882、CVE-2020-1472、CVE-2021-26855、CVE-2021-27065、CVE-2021-26858、CVE-2021-26857、CVE-2022-41082）、Ivanti（CVE-2019-11510）、SonicWALL（CVE-2021-20021、CVE-2021-20038）、Fortinet（CVE-2022-42475、CVE-2022-40684）、QNAP（CVE-2022-27593）等。

上述列表中的一些漏洞可以追溯到2017年和2018年，并且仍在被广泛利用。

参考链接：