修补：美国、英国和澳大利亚就前30个漏洞发布联合咨询

根据美国网络安全和基础设施安全局（CISA）、澳大利亚网络安全中心（ACSC）、英国国家网络安全中心（NCSC）和美国联邦调查局（FBI）的数据，在2021年近七个月结束时，30个最易受攻击的漏洞中有一个可以追溯到2017年

CVE-2017-11882是可疑荣誉的持有者，这是由于Microsoft Office的公式编辑器中的堆栈缓冲区溢出，这可能导致远程代码执行（RCE）。这是厂商多年来一直在利用的一个漏洞

四方机构周三表示，修补这个漏洞最简单的方法是修补系统

“网络行为体继续利用广为人知的（通常是过时的）软件漏洞攻击广泛的目标集，包括全球的公共和私营部门组织。然而，世界各地的实体可以缓解这些漏洞。。。通过将可用补丁应用到他们的系统中，并实施集中补丁管理系统，”四方表示

“恶意网络参与者最有可能继续使用旧的已知漏洞，如影响Microsoft Office的CVE-2017-11882，只要这些漏洞仍然有效且系统未修补。对手对已知漏洞的使用使归属复杂化，降低成本，并将风险降至最低，因为他们没有投资开发一个零天漏洞供其专用，如果已知，他们就有可能失去该漏洞。”

前30名名单分为14个2020年及更早的历史CVE，今年有16个

历史漏洞列表由四个与云、远程工作或VPN相关的CVE领导

“随着远程工作选项的增长，许多VPN网关设备在2020年期间仍然没有打补丁，这对组织进行严格补丁管理的能力提出了挑战，”这些机构说

除了修补，这些机构表示，最佳实践包括遵守澳大利亚的八项基本缓解战略

历史漏洞

Citrix:CVE-2019-19781历史漏洞排行榜之首的是2019年圣诞节期间出现的Citrix NetScaler RCE。这一漏洞应该会对澳大利亚产生影响，因为它被用于访问国防招募数据库

Pulse:CVE-2019-11510获得银牌是Pulse Secure Connect中的一个目录遍历漏洞，可导致任意文件泄露和管理员凭据泄漏

“一旦受到攻击，攻击者可以在连接到VPN的任何主机上运行任意脚本。这可能导致任何连接到VPN的人成为潜在的妥协目标，”这些机构说

“Pulse Connect Secure VPN中的CVE-2019-11510漏洞也经常成为国家APT的攻击目标。参与者可以利用该漏洞窃取受损Pulse VPN服务器上所有用户的未加密凭据，保留受损Pulse VPN服务器上所有用户的未授权凭据，并在系统修补后保留未授权访问，除非所有受损凭据都已更改。“

听起来不错

Fortinet:CVE-2018-13379最新发布的5月警告是Fortinet版本的目录遍历漏洞，可导致攻击者获取用户名和密码

“多个恶意软件活动利用了此漏洞。这些机构警告说：“最引人注目的是勒索软件（也称为Crypt3、Ghost、Phantom和Vjszy1lo）

F5-大IP:CVE-2020-5902当它被宣布时，这个CVE获得了完美的10分——所以这是一件大事。它涉及到允许任何老用户访问的交通管理用户界面；它们不需要经过身份验证就可以执行任意命令、创建或删除文件、禁用服务或运行任意Java

“该漏洞可能导致整个系统受损”，这是机构低估威胁的方式

MobileIron:CVE-2020-15505对远程执行MobileIron工具包上代码的非法攻击者感到厌倦了吗？嗯，你在11月被警告过

Microsoft Exchange:CVE-2020-0688欢迎加入Microsoft Exchange列表--我们一直在期待您的加入。2020年初出现此漏洞是因为Exchange服务器在安装时未能为Exchange控制面板创建唯一的加密密钥，这导致攻击者能够使用格式错误的请求在系统上下文下运行代码。当知道运行此漏洞需要身份验证时，可以找到些许安慰

Atlassian Confluence:CVE-2019-3396如果您从列表中的许多漏洞中得到闪现，那是因为NSA去年10月试图警告人们

不要忽略路径遍历和其他供应商的远程代码执行滑稽动作，这个古老的Atlassian Confluence漏洞增加了一点服务器端模板注入

但最大的问题是，在JIRA中，是否必须将补丁程序作为一项任务记录到Confluence？不用去想

Microsoft Office:CVE-2017-11882这是列表中最老的bug，与本文开头提到的公式编辑器有关。向上滚动

Atlassian Crowd:CVE-2019-11580攻击者可利用此漏洞安装任意插件，从而导致远程代码执行。这些机构特别指出了这一弱点

“将稀缺的网络防御资源集中在修补网络行为者最常使用的漏洞上，有可能加强网络安全，同时阻碍我们对手的行动，”他们说

“例如，2020年的民族国家APTs广泛依赖于在Atlassian Crowd中发现的单一RCE漏洞，该漏洞是一个集中式身份管理和应用程序（CVE-2019-11580）

“一致关注修补此漏洞通过迫使参与者寻找替代方案，可能会产生相对广泛的影响，而这些替代方案对他们的目标集可能没有同样广泛的适用性。”

Drupal:CVE-2018-7600还记得Drupalgeddon2吗？缺少来自钩子疯狂的Drupal代码库的输入，可能会导致未经验证的攻击者获得远程代码执行

自然而然，包括monero采矿和将网站用作僵尸网络的一部分的恶意软件活动很快就接踵而至

Telerik:CVE-2019-18935 ASP.NET应用程序所使用的Telerik框架中序列化输入的清理漏洞可能导致RCE。又一次，加密劫机也不远了

Microsoft Sharepoint:CVE-2019-0604为了与最近的主题保持一致，Sharepoint在反序列化XML时由于缺少清理而存在漏洞，这可能导致远程代码执行

Microsoft Windows后台智能传输服务：CVE-2020-0787由于不正确处理符号链接，攻击者可利用此漏洞以系统级权限执行任意代码

微软Netlogon:CVE-2020-1472发布时，据报道它是有史以来最严重的漏洞之一，CVSS分数为10，这也就不足为奇了

也称为Zerologon，该漏洞允许未经身份验证的攻击者模拟域上的计算机，有可能禁用Netlogon身份验证过程中的安全功能，并获得域管理员权限

“我们看到威胁行为者将MobileIron CVE-2020-15505漏洞用于初始访问，然后使用Netlogon漏洞促进目标网络的横向移动和进一步破坏，”这些机构说

“已观察到一个民族国家APT集团利用此漏洞进行攻击。”

2021年的类别

与前几年的漏洞相比，2021年的类别被很好地分组在一起，并且大部分与单个产品相关，因此无需进一步的ado

Microsoft Exchange:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065这些漏洞是北约、美国、欧盟、英国、澳大利亚、加拿大、新西兰和日本最近说的归因于中国的漏洞，FBI决定需要在美国服务器上炸掉网络外壳

CVE-2021-26855允许未经身份验证的攻击者（如果他们可以连接到端口443）通过服务器端请求伪造攻击Exchange控制面板，从而允许他们发送任意HTTP请求，作为Exchange服务器进行身份验证，并获得对邮箱的访问权限

CVE-2021-26857使用了不安全的反序列化来获得RCE，而最后两个使用了可能导致RCE的认证后任意文件写入漏洞

脉冲安全：CVE-2021-22893、CVE-2021-22894、CVE-2021-22899、CVE-2021-22900出现在3月份，第一个CVE在允许远程未经认证的用户执行任意代码方面得到满分10分，而第二个和第三个CVE在9.9上紧随其后，与远程认证用户能够执行任意代码有关。在CVE-2021-22894的情况下，这是根用户

CVE-2021-22900的分数为7.2分，这与通过管理员web界面上传的恶意制作的存档文件导致经过身份验证的管理员执行文件写入有关

Accellion:CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104通过Accellion FTA文件传输服务发生的黑客攻击似乎持续不断，受害者包括新西兰储备银行、澳大利亚证券和投资委员会、Singtel以及世界各地的许多其他组织

二月份，Accellion表示将淘汰易受攻击的产品

> VMware：CVE-2021-21985最近攻击VCCESS服务器和云基础，允许RCE也进行了削减。在宣布时，VMware警告说，由于攻击者只需点击端口443即可进行攻击，因此防火墙控制是用户的最后一道防线

Fortinet:CVE-2018-13379，CVE-2020-12812，CVE-2019-5591没错，CVE-2018-13379两个名单都列在了上面。真是荣幸

Telstra InfraCo在悉尼和墨尔本开设了“运营商中立数据中心”

当试图将电信基础设施远离北京时，指责中国是很方便的

Telstra清扫了由第5A轮移动黑点计划资助的站点

NBN拥有119000项服务，这些服务无法通过注册达到其规定的最低25Mbps，您同意使用条款，并承认隐私政策中概述的数据实践。

您还将获得免费订阅的ZDNet今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS系列公司的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:39

新人小程序+APP定制199元起

发放福利，助力中小企业发展，真正在互联网中受益

点击询问定制

广告服务展示