2023年最常被利用的漏洞（文末附下载）

进网络安全行业群

本文提供了由创作机构收集和汇编的关于2023年恶意网络行为者常规和频繁利用的常见漏洞和暴露(CVE)及其相关的常见弱点列举(CWE)的详细信息。与2022年相比，恶意网络行为者在2023年利用了更多零日漏洞来危害企业网络，使他们能够针对高优先级目标进行操作。

强烈建议供应商、设计人员、开发人员和最终用户组织实施以下建议，以及缓解措施部分，以降低恶意网络行为者的危害风险。

技术细节

主要发现

网络安全工作包括

• CVE-2023-3519:此漏洞会影响Citrix NetScaler ADC和NetScaler网关。

允许未经身份验证的用户通过使用HTTP GET请求在NSPPE进程中造成堆栈缓冲区溢出。

• CVE-2023-4966:此漏洞会影响Citrix NetScaler ADC和NetScaler网关。

允许会话令牌泄漏；2023年10月公布了这种利用的概念证明。

• CVE-2023-20198:此漏洞影响Cisco IOS XE Web UI。

允许未经授权的用户获得初始访问权限，并发出命令创建本地用户和密码组合，从而能够以正常用户访问权限登录。

• CVE-2023-20273 

  此漏洞影响Cisco IOS XE，在CVE-2023-20198的活动之后。
创建本地用户后，允许将权限提升至root权限。

• CVE-2023-27997:此漏洞影响Fortinet FortiOS和FortiProxy SSL-VPN。

允许远程用户手工创建特定请求来执行任意代码或命令。

• CVE-2023-34362:此漏洞影响Progress MOVEit传输。

允许滥用SQL注入漏洞来获取sysadmin API访问令牌。允许恶意网络参与者通过滥用反序列化调用来获得远程代码执行。

• CVE-2023-22515:此漏洞影响Atlassian Confluence数据中心和服务器。

任意HTTP参数可以通过XWorks2中间件转换成getter/setter序列，从而允许在运行时修改Java对象。该漏洞会创建一个新的管理员用户，并上传一个恶意插件来执行任意代码。
允许利用不正确的输入验证问题。

• CVE-2021-44228

  这个漏洞被称为Log4Shell，它影响了Apache的Log4j库，这是一个集成到全球数千种产品中的开源日志框架。
参与者可以通过向易受攻击的系统提交巧尽心思构建的请求来利用此漏洞，从而导致执行任意代码。该请求允许网络角色完全控制一个系统。然后，参与者可以窃取信息、启动勒索软件或进行其他恶意活动。该漏洞于2021年12月公开披露后，恶意网络行为者开始利用该漏洞。
允许执行任意代码。

• CVE-2023-2868 

  这是一个远程命令注入漏洞，会影响Barracuda Networks电子邮件安全网关(ESG)设备。
允许个人通过ESG设备进行未经授权的访问和远程执行系统命令。

• CVE-2022-47966:

  这是一个未经验证的远程代码执行漏洞，会影响使用Zoho ManageEngine的多个产品。
通过向ServiceDesk Plus SAML端点提供精心编制的samlResponse XML，允许未经身份验证的用户执行任意代码。

• CVE-2023-27350:此漏洞影响PaperCut MF/NG。

允许恶意网络参与者通过滥用内置脚本功能来执行代码，从而链接身份验证绕过漏洞。

• CVE-2020-1472:此漏洞影响Microsoft Netlogon。

未经授权的用户可以使用非默认配置，通过Netlogon远程协议建立与域控制器的易受攻击的Netlogon安全通道连接。


注意

:自2021年以来，此CVE一直被列入最常被利用的漏洞列表。
允许权限提升。

• CVE-2023-42793:此漏洞会影响JetBrains TeamCity服务器。

允许绕过身份验证，从而允许针对易受攻击的JetBrains TeamCity服务器远程执行代码。

• CVE-2023-23397:此漏洞影响Microsoft Office Outlook。

威胁参与者可以发送一封特制的电子邮件，Outlook客户端在处理该邮件时会自动触发该邮件。即使没有用户交互，这种攻击也会发生。
允许特权提升。

• CVE-2023-49103:此漏洞影响ownCloud graphapi。

未经身份验证的用户可以访问敏感数据，如管理员密码、邮件服务器凭据和许可证密钥。
允许未经验证的信息泄露。

表1 2023年15大经常被利用的漏洞

其他经常被利用的漏洞

缓解措施

供应商和开发商

• 识别重复利用的漏洞类别。

对CVE和进行分析

已知被利用的漏洞(kev)

了解哪些类型的漏洞比其他类型的漏洞更容易被发现。实施适当的缓解措施来消除这些类别的漏洞。如果产品有几个SQL注入漏洞实例，请确保产品中的所有数据库查询都使用参数化查询，并禁止其他形式的查询。
• 确保企业领导对安全负责。
企业领导应该确保他们的团队采取主动措施来消除所有类别的安全漏洞，而不是在发现新漏洞时才进行一次性修补。

• 跟随SP 800-218 SSDF

  并在SDLC的每个阶段实施安全的设计实践；特别是，旨在执行以下SSDF建议:
尽可能优先使用内存安全的语言；
在选择软件组件（如软件库、模块、中间件、框架）时进行尽职调查，以确保消费软件产品的稳健安全性；
建立安全的软件开发团队实践——这包括进行同行代码评审，致力于一个通用的组织安全编码标准，以及保持对特定语言安全问题的认识；
建立一个漏洞披露程序验证和解决由组织内部或外部人员披露的安全漏洞，建立流程来确定已发现漏洞的根本原因。使用静态和动态应用程序安全测试(SAST/DAST)工具来分析产品源代码和应用程序行为，以检测容易出错的做法。

• 默认情况下，将生产就绪产品配置为最安全的设置，并就更改每个设置的风险提供指导

优先考虑默认安全配置，例如消除默认密码、通过现代开放标准实施单点登录(SSO)技术，以及向客户提供高质量的审核日志，而无需额外配置和额外收费。

• 确保发布的简历包含正确的CWE字段

  确定漏洞的根本原因，以便对软件安全性和设计缺陷进行行业范围的分析。

最终用户组织

漏洞和配置管理

• 及时更新IT网络资产上的软件、操作系统、应用程序和固件 

如果KEV或关键漏洞的补丁无法快速应用，请实施供应商批准的变通办法。更换生命周期结束的软件(即供应商不再支持的软件)。
优先修补，尤其是此通报中确定的CVE，然后是允许在面向互联网的设备上远程执行代码或拒绝服务的严重和高漏洞。有关此通报中确定的CVE的修补程序信息，请参考

附录:针对最常被利用的漏洞的补丁程序信息和其他资源.

• 定期执行自动化资产发现

  对整个房地产的所有系统、服务、硬件和软件进行识别和分类。

• 实施强大的补丁程序管理流程

  以及建立修补程序应用程序优先级的集中式修补程序管理系统

  。

《CISA洞察》

MSP客户的风险考虑.

《CISA洞察》

针对MSP和中小型企业的缓解和强化指南.

ACSC的

参与时如何管理您的安全苏格兰议会议员

无法对面向互联网的系统执行快速扫描和修补的组织应考虑将这些服务转移到成熟、声誉良好的云服务提供商(CSP)或其他托管服务提供商(MSP)。声誉良好的MSP可以为其客户修补应用程序(如网络邮件、文件存储、文件共享、聊天和其他员工协作工具)。


注意:

MSP和CSP可能会扩大其客户的攻击面，并可能带来无法预料的风险，因此组织应主动与其MSP和CSP合作，共同降低风险.有关更多信息和指导，请参见以下资源：
• 记录所有IT/OT组件的安全基准配置，包括云基础架构。
监控、检查并记录与初始安全基线的任何偏差




• 定期执行安全的系统备份

  并创建所有设备配置的已知良好副本以供修理和/或恢复。
将副本存储在物理上安全的位置，并定期测试




• 维护更新的网络安全事件响应计划

  至少每年测试一次，并在风险知情的时间框架内更新，以确保其有效性

  
  

身份和访问管理

• 对所有用户实施防网络钓鱼多因素身份验证(MFA)

  无一例外地

  在所有VPN连接上实施MFA。如果MFA不可用，要求从事远程工作的员工使用强密码。




• 定期审查、验证或删除非特权帐户

  (至少每年一次)

  
  

• 根据最低权限原则配置访问控制

确保软件服务帐户仅提供必要的权限(最低权限)来执行预期功能(在可行的情况下使用非管理权限)。

保护控制和架构

• 正确配置和保护面向互联网的网络设备

  禁用未使用或不必要的网络端口和协议，加密网络流量，禁用未使用的网络服务和设备
• 强化常用的企业网络服务，包括本地链路多播名称解析(LLMNR)协议、远程桌面协议(RDP)、通用互联网文件系统(CIFS)、活动目录和OpenLDAP。
• 管理Windows密钥分发中心(KDC)帐户(例如KRBTGT ),以最大限度地减少金券攻击和Kerberos发布。
• 严格控制本机脚本应用程序的使用，如命令行、PowerShell、WinRM、Windows Management Instrumentation(WMI)和分布式组件对象模型(DCOM)。

• 实施零信任网络架构(ZTNA)

  通过控制对应用程序、设备和数据库的访问来限制或阻止横向移动。使用专用虚拟局域网。

  
  

• 持续监控攻击面

  并调查可能表明网络参与者或恶意软件横向移动的异常活动
• 使用安全工具，例如端点检测和响应(EDR)以及安全信息和事件管理(SIEM)工具。
• 考虑使用信息技术资产管理(ITAM)解决方案，以确保EDR、SIEM、漏洞扫描器和其他类似工具报告相同数量的资产。
• 使用web应用程序防火墙来监控和过滤web流量。
• 这些工具通过硬件、软件和基于云的解决方案在市场上销售，可以检测和缓解网络参与者向未打补丁的设备发送恶意web请求的攻击企图
• 实施管理策略和/或自动化流程，配置为根据指定的许可版本监控不需要的硬件、软件或程序。

供应链安全

• 减少第三方应用程序和独特的系统/应用程序构建

  —仅在需要支持关键业务功能时提供例外
• 确保合同要求供应商和/或第三方服务提供商:
• 在风险通知时限内提供安全事件和漏洞通知
• 为所有产品提供软件材料清单(SBOM ),以加强漏洞监测，并帮助减少对已发现的漏洞作出反应的时间

• 请您的软件提供商讨论他们的安全设计计划，

  提供链接，介绍他们如何努力消除漏洞类别，以及如何设置安全的默认设置。

（防御加固、威胁情报、渗透测试、漏洞、代码审计、勒索病毒、CTF、逆向）