2022年漏洞事件盘点
2022年,网络安全漏洞形势空前严峻:高危漏洞数量延续增长趋势,企业安全预算和资源难以跟上黑客工具技术迭代和漏洞增长的速度,人工智能和量子计算等新技术风险加速到来,供应链和第三方风险不断累积,漏洞优先级排序和漏洞修补难度不断加大,暴露面和攻击面不断扩大,MTTR等关键安全运营指标每况愈下,安全风险不断攀升。
根据CNNVD监测数据显示,2022年热点漏洞TOP 5分别为Apache Fineract路径遍历漏洞、OpenSSL安全漏洞、SQLite输入验证错误漏洞、Atlassian Bitbucket Server和Bitbucket Dat a Center命令注入漏洞、Apache Commons BCEL缓冲区错误漏洞。其中2022年漏洞每月新增数量在1800-2500之间来回波动,预测未来新增漏洞数量仍在此范围区间内,而高危以上漏洞新增数量近一年总体呈现上升趋势。
近期微软、谷歌等国际企业漏洞事件频频亮起红灯,国内外多起重大网络攻击事件,皆为网络犯罪者利用漏洞进行攻击所导致,漏洞在实际网络攻击中产生了非常大的现实威胁,这无一不在提醒我们需要将“漏洞安全”重视起来。根据GoUpSec的统计分析,2022年十大漏洞频发企业分别是:微软、谷歌、苹果、三星、戴尔、IBM、本田、PayPal、美国航空、AMD。
为了帮助企业提高警惕,规避漏洞风险,GoUpSec收集汇编了2022年度的漏洞事件,记录了2022年主要的网络安全漏洞统计数据和信息,漏洞影响的用户数量从几万到上千万不等。希望各位以案例为镜鉴,提高安全防护意识。
1月
微软Exchange惊现2022“新年虫”,紧急修复
微软已针对2022年的新年错误发布了紧急修复程序,该错误会破坏本地Microsoft Exchange服务器上的电子邮件传递。这些错误是由微软Exchange检查FIP-FS防病毒扫描引擎的版本并尝试将日期存储在签名的int32变量中引起的。
All in One SEO插件漏洞威胁三百万网站的安全
一个名为All in One SEO的非常流行的WordPress SEO优化插件含有一对安全漏洞,当这些漏洞组合成一个漏洞链进行利用时,可能会使网站面临着被接管的风险。有超过300万个网站在使用该插件。Sucuri表示,这对漏洞已经很成熟了,很容易被利用,所以用户应该升级到已打补丁的版本,即4.1.5.3版。
本田、讴歌汽车爆Y2K22千年虫漏洞
继微软Exchange爆2022千年虫漏洞后,本田、讴歌汽车导航系统也被爆出遭遇了Year 2022/千年虫bug,bug会重置导航系统的时钟到2002年1月1日,而且没有办法修改。根据用户报告情况,此次bug影响所有的本田、讴歌汽车,包括Honda Pilot、Odyssey、CRV、Ridgeline、Odyssey和Acura MDX、RDX、CSX、TL型号。
中高端WiFi路由器USB共享组件曝出严重漏洞
SentinelOne安全研究人员在无处不在的WiFi路由器的USB共享组件(NetUSB)中发现了一个严重的远程代码执行漏洞(CVE-2021-45388),该漏洞影响了几乎所有支持USB设备共享功能的主流中高端WiFi路由器。
Windows HTTP协议栈严重漏洞风险通告
奇安信CERT监测到微软官方公开并修复了Microsoft Windows HTTP协议栈远程代码执行漏洞(CVE-2022-21907),利用此漏洞不需要身份认证和用户交互,微软官方将其标记为蠕虫漏洞,并建议优先修补受此漏洞影响的服务器。奇安信CERT已复现此漏洞的拒绝服务场景,可导致目标主机崩溃。
9个WiFi路由器存在226个漏洞,TP-Link漏洞数量最多
安全研究人员对当下9种流行WiFi路由器进行测试分析,共发现了226个漏洞,其中包括一些路由器刚刚更新使用了最新的固件。
惠普游戏本曝内核级漏洞,影响全球数百万台计算机
HP OMEN驱动程序软件中存在一个严重漏洞,该漏洞影响全球数百万台游戏计算机。该漏洞被命名为CVE-2021-3437(CVSS 评分:7.8),可能允许威胁行为者在不需要管理员权限的情况下将权限提升到内核模式,从而进行禁用安全产品、覆盖系统组件,甚至破坏操作系统的操作。
成人视频网站StripChat数据库泄漏,模特信息“一览无余”
据Security Affairs可靠消息,成人视频网站StripChat出现了安全漏洞,导致数百万注册用户和成人模特的个人数据泄露。针对这一泄漏事件,网络安全专家指出,数据库存储信息泄露,可能会给Stripchat用户和模特带来重大隐私风险,威胁行为者可以利用这些数据对他们实施勒索活动。
2月
研究人员在三种WordPress插件中发现高危漏洞
WordPress安全公司Wordfence的研究人员发现一项严重的漏洞,它可以作用于三种不同的WordPress插件,并已影响超过84000个网站。该漏洞的执行代码被追踪为CVE-2022-0215,是一种跨站请求伪造(CSRF)攻击,通用安全漏洞评分系统(CVSS)对其给予8.8的评分。
美国关键基础设施正遭受BlackByte勒索软件入侵
FBI表示,截至2021年11月,BlackByte勒索软件已经侵害多家美国及国外企业,其中包括至少三个美国关键基础设施实体。其重要手段是利用软件漏洞(如Exchange)获取目标企业网络的初始访问权限。尽早更新服务器软件有望阻遏他们的攻势。
Wormhole加密货币平台被窃3260万美元
2月2日,Wormhole称发现平台中存在一个安全漏洞,因此暂时关停该平台。攻击者利用该漏洞利用成功窃取了价值3260万美元的加密货币,其中包括Solana区块链上的12万包装Ether token。
微软Exchange服务器被黑客攻击以部署Cuba勒索软件
勒索软件Cub正利用微软Exchange的漏洞进入企业网络并对设备进行加密。知名网络安全公司Mandiant追踪到,使用该勒索软件的团伙名为UNC2596,而勒索软件本身的名字为COLDDRAW。
3月
部分本田车型存在漏洞,黑客可远程启动车辆
研究人员发现一个影响部分Honda(本田)和Acura(讴歌)车型的重放攻击漏洞(CVE-2022-27254),黑客能够利用该漏洞解锁汽车、甚至启动汽车引擎。据悉,发现漏洞问题的是达特茅斯大学两个学生。该学生表示,黑客可以通过该漏洞获得锁定、解锁、控制车窗、打开后备箱和启动目标车辆发动机的访问权限,防止攻击的唯一方法是永远不要使用遥控钥匙,或者在被攻击后,从汽车经销商处重新设置新的钥匙。
国家漏洞库CNNVD:关于Redis代码注入漏洞的预警
国家信息安全漏洞库(CNNVD)收到关于Redis代码注入漏洞(CNNVD-202202-1622、CVE-2022-0543)情况的报送。成功利用此漏洞的攻击者,可在目标服务器远程执行恶意代码,进而控制目标服务器。Redis 5.x系列5.0.14以下版本、Redis 6.x系列6.0.16以下版本、Redis 7.x系列7.0-rc2以下版本均受漏洞影响。
数据中心备用电源(UPS)设备曝3个严重漏洞
Armis公司研究人员在APC Smart-UPS设备中发现了一组三个关键的零日漏洞,这些漏洞可让远程攻击者接管Smart-UPS设备并对物理设备和IT资产进行极端攻击。不间断电源(UPS)设备为关键任务资产提供应急备用电源,可在数据中心、工业设施、医院等场所找到。施耐德电气表示,这些漏洞被归类为“严重”和“高严重性”,影响SMT、SMC、SCL、SMX、SRT和SMTL系列产品。
4月
Wyze摄像头曝出大漏洞,近三年时间才修复
某畅销的摄像头品牌Wyze Cam被曝存在三个严重的安全漏洞,黑客利用这些漏洞可以执行任意代码,完全控制摄像头,并且访问设备中的视频资源。更糟糕的是,这些漏洞是在三年前被发现的,最后一个漏洞直到近段时间才完成修复。
Spring4Shell漏洞攻击进入爆发期
根据CheckPoint的遥测数据,全球受到Spring4Shell零日漏洞影响的组织中,大约有六分之一已经成为攻击者的目标。Check Point表示,仅在过去一个周末就检测到了37000次Spring4Shell攻击。受影响最大的行业似乎是软件供应商,占总数的28%,这可能是因为它们是供应链攻击的理想对象。
三星手机被曝严重安全漏洞
Kryptowire安全研究人员在运行安卓9到安卓12版本系统的三星设备中发现了一个严重的安全漏洞,漏洞CVE编号为CVE-2022-22292,CVSS v3评分为7.8分。该漏洞允许本地应用模拟系统级的活动,并劫持重要的受保护的功能。攻击者利用该漏洞可以恢复出厂设置,删除所有的用户数据,拨打电话,安装和卸载应用,通过安装任意的根证书来弱化HTTPS安全,所有的恶意行为都是在后台进行的,不需要用户的同意。
又一家NFT平台曝出重大漏洞,Web 3.0安全隐患凸显
安全厂商Check Point发现,全球主要NFT平台Rarible存在重大漏洞,用户点击恶意NFT链接,钱包访问权限就会被窃取,资金被盗取;今年4月,中国台湾知名艺人周杰伦就遭到类似攻击,价值50万美元的NFT失窃;安全专家称,在安全性方面,Web 2.0与Web 3.0基础设施之间仍然存在巨大差距。
北美国家财政系统遭勒索攻击:税务海关停摆,已危及国家稳定?
北美洲国家哥斯达黎加遭到Conti勒索软件攻击,多个部委大量系统受影响瘫痪,大量敏感数据被盗。哥国财政部受影响最严重,纳税人信息被盗引发大众恐慌,税务海关等系统瘫痪多天,导致该国出口业务损失惨重,至少损失2亿美元。哥国总统称攻击者试图破坏国家稳定,并暗指与俄罗斯有关。不过也有安全专家认为,这只是一起普通的金钱勒索,仅仅因为该国系统漏洞太多。
5月
DNS曝高危漏洞,影响数百万物联网设备
Nozomi Networks发出警告,uClibc库的域名系统(DNS)组件中存在一个高危漏洞,编号为CVE-2022-05-02,该漏洞将影响所有版本uClibc-ng库的域名系统(DNS),因此,数百万台使用uClibc库的物联网设备都也将受到影响。
不讲武德!黑客开始利用BIG-IP漏洞“删库”
最近披露的F5 BIG-IP高危漏洞已被用于破坏性攻击,攻击者试图擦除设备的文件系统并使服务器无法使用。F5披露了一个编号CVE-2022-1388的高危漏洞,该漏洞允许远程攻击者以“root”身份在BIG-IP网络设备上执行命令而无需身份验证。由于该漏洞的严重性,F5敦促系统管理员尽快应用更新。几天后,研究人员开始在Twitter和GitHub上公开发布漏洞利用程序,全球性攻击已经开始。
BLE蓝牙漏洞可解锁特斯拉、智能门锁、门禁系统和手机
据彭博社报道,NCC集团研究人员发现了一个广泛存在的蓝牙低功耗(BLE)漏洞,可能被用来解锁特斯拉汽车(或其他具备汽车无钥匙进入功能的汽车)、住宅智能门锁、楼宇门禁系统、手机、笔记本电脑和许多其他设备。
支付巨头PayPal曝大漏洞,黑客可直接窃取用户资金
据The Hacker News消息,昵称为h4x0r_dz的安全研究人员在支付巨头PayPal的汇款服务中发现了一个未修补的大漏洞,可允许攻击者窃取用户账户中的资金。其攻击原理是利用点击劫持技术诱导用户进行点击,在不知不觉中完成交易,最终达到窃取资金的目的。
安卓预装APP被曝高危漏洞,影响数百万用户
微软发现安卓系统中预装APP中的多个安全漏洞,下载量超百万。微软在mce系统移动框架中发现多个高危安全漏洞,漏洞CVE编号分别为CVE-2021-42598、CVE-2021-42599、CVE-2021-42600和CVE-2021-42601,CVSS评分在7到8.9分之间。该框架被多个移动服务提供商用于预装的安卓系统APP中,攻击者利用这些漏洞可以实现本地或远程攻击。
南非总统的个人信贷数据泄露:该国已沦为“黑客乐园”
黑客团伙SpiderLog$公开窃取了南非总统Cyril Ramaphosa自2000年代在国内四大银行之一的贷款详细记录。该团伙称,南非已经成为黑客乐园,任何人都能轻松绘制出南非数字基础设施分布,甚至包括国防/国安等敏感系统。此次曝光使得大众关注到南非信息系统的显著漏洞,特别政府/国防/国安等部门的系统安全性。
6月
俄沙虫组织利用Follina漏洞,入侵乌克兰重点机构
乌克兰计算机应急响应小组警告说,俄罗斯黑客组织Sandworm可能正在利用名为Follina的漏洞,这是Microsoft Windows支持诊断工具中的一个远程代码执行漏洞,编号为CVE-2022-30190,它可以通过打开或选择特制文档来触发其中的安全漏洞,威胁行为者至少自2022年4月以来一直在攻击中利用它。值得注意的是,乌克兰情报机构以中等可信度评估,认为这场恶意活动的背后是“Sandworm”黑客组织。
邮件巨头Zimbra曝严重漏洞,黑客无需密码即可登录
据Bleeping Computer报道,邮件巨头Zimbra某些版本的高严重性漏洞的技术细节已经浮出水面,通过利用该漏洞,黑客可以在没有身份验证或用户交互的情况下窃取登录信息,这意味着黑客无需账号密码即可登录用户的邮箱。
工控安全火山爆发:“冰瀑”报告披露56个重大OT漏洞
安全研究人员在10家OT供应商的产品中发现56个冰瀑漏洞,这些漏洞表明:工控安全在设计层面就存在根本性的重大问题。受冰瀑漏洞影响的制造商包括本特利内华达(GE Bently Nevada)、艾默生电气(Emerson)、霍尼韦尔(Honeywell)、捷太格特(JTEKT)、摩托罗拉、欧姆龙、菲尼克斯电气(Phoenix Contract)、西门子和横河电机(Yokogawa)。
微软云服务爆容器逃逸漏洞,攻击者可接管Linux集群
微软旗下应用程序托管平台Service Fabric爆出容器逃逸漏洞“FabricScape”,攻击者可以提权控制主机节点,乃至接管平台Linux集群。利用此漏洞,恶意黑客可以提升至root权限,夺取主机节点控制权,进而危及整个SF Linux集群。
7月
万豪国际数据遭泄露,20GB文件被窃取
连锁酒店万豪国际对外了确认它遭受了新的数据泄露事件,旗下的马里兰州BWI机场万豪酒店(BWIA)网络遭到不明人士攻击,造成约20GB的文件数据被窃取。攻击者试图通过威胁泄露被盗文件来敲诈万豪酒店,但万豪酒店拒绝支付赎金并将相关情报通知了有关部门,同时万豪酒店还聘请了一家业界领先的网络安全公司来调查这一安全漏洞。
畅销全球的GPS车载追踪器曝出“灾难性”漏洞
安全公司BitSight宣称在中国产的GPS追踪器Micodus MV720中发现了六个漏洞,MV720是一款畅销全球的售价约20美元的GPS车载定位追踪器。BitSight的安全研究人员认为,其他Micodus跟踪器型号中也可能存在相同的严重漏洞。据报道,Micodus声称其42万名客户共部署了150万台追踪器,客户包括政府、军队、执法机构以及航空航天、航运和制造公司。
关于OpenSSL安全漏洞的通报
国家信息安全漏洞库(CNNVD)收到关于OpenSSL安全漏洞(CNNVD-202207-242、CVE-2022-2274)情况的报送。成功利用此漏洞的攻击者,可造成目标机器内存损坏,进而在目标机器远程执行代码。OpenSSL 3.0.4版本受漏洞影响。
Nodejs dll劫持漏洞(CVE-2022-32223)安全风险通告
奇安信CERT监测到Nodejs Dll劫持漏洞(CVE-2022-32223),在nodejs中存在dll劫持漏洞,攻击者可以通过dll劫持向nodejs内注入恶意dll,从而执行代码,该漏洞影响范围极大。
8月
黑客利用零日漏洞窃取General Bytes ATM机上的加密货币
The Hacker News网站披露,比特币ATM机制造商General Bytes证实其遭到了网络攻击。攻击者利用服务器中的零日漏洞,从用户处掠夺加密货币。攻击事件发生不久后,General Bytes在一份公告中表示,自2020-12-08版本以来,该零日漏洞一直存在于CAS软件中。攻击者通过CAS管理界面,利用页面上的URL调用,远程创建管理员用户。
损失不可估计!网传用友等头部软件厂商遭勒索攻击
8月29日,国内知名技术社区qidao123.com消息,我国多个安全技术社群开启疯狂吐槽模式,网传以用友为代表的头部管理软件厂商遭遇大规模勒索攻击,从而影响到无数下游企业,引发了难以想象的危害,其损失暂时无法估计。由于病毒模块的投放时间与企业用户升级软件时间相近,因此有安全厂商表示,该勒索攻击事件有可能是黑客通过供应链污染或漏洞的方式进行投毒。
关于苹果多个安全漏洞情况的通报
国家信息安全漏洞库(CNNVD)收到关于Apple macOS Monterey安全漏洞(CNNVD-202208-3348、CVE-2022-32894)和Apple macOS Monterey安全漏洞(CNNVD-202208-3345、CVE-2022-32893)情况的报送。成功利用漏洞的攻击者可提升本地权限,并执行任意代码。iOS 15.6.1以下版本、iPadOS 15.6.1以下版本、macOS Monterey 12.5.1以下版本受上述漏洞影响。
9月
关于微软多个安全漏洞的通报
微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞62个,影响到微软产品的其他厂商漏洞1个。包括Microsoft Windows TCP/IP component安全漏洞、Microsoft Windows安全漏洞等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
Python曝出15年“老洞”,数十万开源项目受影响
Trellix高级研究中心在Python的tarfile模块中发现一个存在长达15年之久的漏洞(CVE-2007-4559),全球数十万个开源和闭源项目受漏洞影响。研究人员警告说,这无意中产生了一个规模超大的软件供应链攻击面,大多数受影响的组织甚至都不知道。据透露,该漏洞是Python tarfile模块中的一个与路径遍历相关的漏洞,被跟踪为CVE-2007-4559,目前有超过35万个开源存储库存在该尚未修补的漏洞,使得软件应用程序非常容易被利用。
美国航空发生数据泄露事件
美国航空公司发出客户通知信确认遭遇黑客攻击,声称攻击者获取了数量不明的客户和员工电子邮件账户和敏感个人信息。根据通知,美国航空公司在7月5日发现了这一漏洞,立即保护了受影响的电子邮件账户,并聘请了一家网络安全取证公司来调查安全事件。在攻击中暴露并可能被攻击者访问的个人信息可能包括:员工和客户的姓名、出生日期、邮寄地址、电话号码、电子邮件地址、驾驶执照号码、护照号码和/或某些医疗信息。
10月
深圳证监局通报:某券商OA系统遭攻击,影响移动办公
10月13日,深圳证监局公布了最新一期的证券期货机构监管通讯(2022第5期),其中,通报了一起证券公司网络安全风险管理不规范的风险案例。通报称,近期,辖区某证券公司因网络安全风险管理存在漏洞,导致公司OA系统遭受注入攻击影响公司移动端OA办公。
Windows曝出“最愚蠢的零日漏洞”
卡内基梅隆大学CERT协调中心(CERT/CC)的前软件漏洞分析师Will Dormann发现多个微软Windows版本中普遍存在的两个零日漏洞超过90天仍未修补,这些漏洞使攻击者可绕过微软的Web标记(MoTW)安全功能投放恶意软件。
苹果曝严重漏洞,可窃听用户与Siri对话
在苹果近期披露的漏洞中包含了名为SiriSpy的iOS和macOS系统漏洞,使具有蓝牙访问权限的应用程序能够窃听用户与Siri的对话。
第二滴血?OpenSSL3.x曝出严重漏洞
密码学专家Bruce Schneier在博客中警告说,Open SSL3.x版本的潜在漏洞可能非常危险,网络安全和IT运营人员需要密切关注11月1日即将发布的OpenSSL3.x补丁。网络安全专家博蒙特确认在某厂商的“零信任VPN”产品中发现了OpenSSL3.x的潜在漏洞,攻击者可通过恶意查询访问服务器中存储的所有PHP文件。
11月
OpenSSL修复的两个高危漏洞到底有多严重?
全球安全人士等来了OpenSSL项目的安全更新版本——OpenSSL3.0.7。新版本修复了此前安全专家在OpenSSL3.0.0及更高版本中发现的两个高危漏洞(CVE-2022-3602和CVE-2022-3786)。根据Open SSL的安全政策,自10月25日以来,企业IT管理员陆续接到警告需要在其系统环境中排查使用了OpenSSL 3.0.x的易受攻击的实例,为OpenSSL 3.0.7发布时的修补做好准备。
Log4j漏洞难修补!美国联邦政府遭入侵,FBI称黑手为伊朗黑客
11月17日消息,美国FBI与网络安全与基础设施安全局(CISA)日前发布一份联合报告称,某个由伊朗支持的未具名威胁组织入侵了一个联邦民事行政部门组织,并部署了XMRig加密货币挖矿恶意软件。攻击者利用的是未安装Log4Shell(CVE-2021-44228)远程代码执行漏洞补丁的VMware Horizon服务器,抓住机会成功入侵了联邦网络。
“去中心化版Twitter”Mastodon曝出严重漏洞
11月23日,安全研究员Lenin Alevski警告说社交媒体平台Mastodon的多个实例容易受到系统配置问题的影响。过去一个月,大量Twitter用户因特斯拉创始人埃隆·马斯克接管Twitter所带来的剧变而纷纷“叛逃”到“去中心化版Twitter”——Mastodon。然而,Alevski和Gareth Heyes等安全研究人员发现Mastodon安全成熟度很差。
密码神器LastPass承认黑客窃取了客户数据
11月30日,密码管理工具LastPass首席执行官Karim Toubba公开承认,通过一个新的漏洞,黑客访问了LastPass的第三方云存储服务器,并获得了部分客户的关键信息。但具体有多少客户因此受到影响,以及黑客窃取了哪些敏感信息暂时未公布。
12月
AMD、ARM、HPE、戴尔等15家服务器厂商产品曝出严重漏洞
American Megatrends的服务器远程管理控制软件MegaRAC BMC曝出多个严重漏洞,攻击者可以在特定条件下执行代码、绕过身份验证和执行用户枚举。据悉,这些漏洞是Eclypsium安全研究人员于2022年8月检查American Megatrends泄漏的专有代码(特别是MegaRAC BMC固件)后发现的。
超过半数EDR工具存在严重漏洞,数亿端点面临风险
在12月7日举行的欧洲黑帽大会上,SafeBreach安全研究员公布了对多家安全厂商的11种EDR工具的测试结果,其中四家厂商的六种工具存在严重漏洞。受该漏洞影响的主要是那些将删除恶意文件推迟到系统重启后的EDR工具。
网络安全无小事,每一起网络安全事件都会造成非常严重的损失和后果,影响范围波及我们每一个人,漏洞安全的防范与保障是当务之急。漏洞与信息化进程相伴而生,为加强网络安全防护、避免漏洞所引发的威胁,漏洞管理成为重要IT策略。企业应当从漏洞的发现、修复消控等层面加大管控力度,提高网络安全意识,提前对漏洞的管控和综合治理、感知与预警等方面提供对策,及时查“漏”补缺,防微杜渐,禁于未然。
