網路安全和基礎結構安全局 (CISA) 剛剛發佈了一份報告,重點介紹了 2022 年最常被利用的漏洞。作為大部分網際網路的反向代理,Cloudflare 處於獨特的地位,可以觀察 CISA 提到的常見漏洞和暴露 (CVE) 在網際網上的利用情況。
我們想分享一些我們瞭解到的資訊。
根據我們的分析,CISA 報告中提到的兩個 CVE 造成了絕大多數的攻擊流量:Log4J 和 Atlassian Confluence 程式碼插入。儘管 CISA/CSA 在該份報告中討論了大量漏洞,但我們的資料清楚地表明前兩個漏洞與清單中其餘漏洞之間的漏洞利用量存在重大差異。
2022 年排名靠前的 CVE
根據 WAF 受管理規則偵測到的為 CISA 報告中列出的特定 CVE 建立的請求量,我們按流行程度對漏洞進行排名:
位居榜首的是 Log4J (CVE-2021-44228)。這並不奇怪,因為這可能是我們幾十年來見過的影響最大的漏洞之一——導致全面的遠端入侵。第二個最常被利用的漏洞是 Atlassian Confluence 程式碼插入 (CVE-2022-26134)。
第三位是針對 Microsoft Exchange 伺服器的三個 CVE 的組合(CVE-2021-34473、CVE-2021-31207 和 CVE-2021-34523)。第四是 BIG-IP F5 漏洞 (CVE-2022-1388),其次是兩個 VMware 漏洞(CVE-2022-22954 和 CVE-2022-22960)的組合。在清單末尾是另一個 Atlassian Confluence 0-day (CVE-2021-26084)。
在比較這五個群組的攻擊量時,我們立即注意到一個漏洞很突出。Log4J 的利用程度比亞軍(Atlassian Confluence 程式碼插入)高出一個數量級以上;其餘的 CVE 甚至更低。儘管 CISA/CSA 報告將所有這些漏洞分組在一起,但我們認為實際上存在兩組:一組是占主導地位的 CVE (Log4J),另一組是相差不大的 0-day 漏洞。這兩個群組內部擁有相似的攻擊量。
下圖以對數刻度清楚地顯示了流行程度的差異。
CVE-2021-44228:Log4J
我們清單中的第一個是臭名昭著的 CVE-2021-44228——更廣為人知的名字是 Log4j 漏洞。該漏洞在 2021 年的網路世界中造成了重大干擾,並繼續被廣泛利用。
Cloudflare 在漏洞公開後數小時內發佈了新的受管理規則。我們還在接下來的幾天發佈了更新的偵測結果(部落格)。總體而言,我們分三個階段發佈了規則:
我們部署的規則偵測四類漏洞:
- Log4j 標頭:HTTP 標頭中的攻擊模式
- Log4j 主體:HTTP 主體中的攻擊模式
- Log4j URI:URI 中的攻擊模式
- Log4j 主體混淆:混淆攻擊模式
我們發現 HTTP 標頭中的 Log4J 攻擊比 HTTP 中更常見。下圖顯示,隨著時間的推移,對該漏洞的利用嘗試持續存在,並在 2023 年 7 月(撰寫本文時)出現了明顯的峰值和增長。
由於該漏洞影響較大,為了挺身而出並領導建立更安全、更好的網際網路,Cloudflare 於 2022 年 3 月 15 日宣佈,所有方案(包括免費方案)都將獲得針對高影響漏洞的 WAF 受管理規則。這些免費規則可解決高影響力的漏洞,例如 Log4J 漏洞、Shellshock 漏洞以及各種廣泛傳播的 WordPress 漏洞。無論規模或預算如何,每個企業或個人網站都可以使用 Cloudflare 的 WAF 保護其數位資產。
您可以在此處找到 Apache Software Foundation 發佈的 Log4J 完整安全公告。
CVE-2022-26134:Atlassian Confluence 程式碼插入
影響 Atlassian Confluence 的程式碼插入漏洞是 2022 年第二大被利用的 CVE。這一漏洞對整個系統構成了威脅,使許多企業受到攻擊者的擺佈。這表明基於知識的系統在管理組織內的資訊方面變得多麼重要。攻擊者認識到這些系統的重要性,因此將其作為攻擊目標。作為回應,Cloudflare WAF 團隊進行了兩次緊急發佈來保護其客戶:
作為這些發佈的一部分,向所有 WAF 使用者提供了兩條規則:
- Atlassian Confluence - Code Injection - CVE:CVE-2022-26134
- Atlassian Confluence - Code Injection - Extended - CVE:CVE-2022-26134
下圖顯示了每天收到的點擊次數,顯示出明顯的峰值,然後隨著系統的修補和保護而逐漸下降。
Log4J 和 Confluence 程式碼插入都顯示出一定的季節性,其中在 2022 年 9 月/11 月至 2023 年 3 月期間進行的攻擊量較大。這可能反映了攻擊者仍在嘗試利用此漏洞進行活動(在 2023 年 7 月末可以看到正在進行的活動)。
CVE-2021-34473、CVE-2021-31207 和 CVE-2021-34523:Microsoft Exchange SSRF 和 RCE 漏洞
三個之前未知的錯誤被鏈接在一起以實現遠端程式碼執行 (RCE) 0-day 攻擊。鑑於 Microsoft Exchange 伺服器的廣泛採用,這些漏洞對所有產業、地區和部門的資料安全和業務營運構成了嚴重威脅。
Cloudflare WAF 透過緊急發佈:2022 年 3 月 3 日,針對此漏洞發佈了一條規則,該發佈中包含規則 Microsoft Exchange SSRF and RCE vulnerability - CVE:CVE-2022-41040, CVE:CVE-2022-41082。
過去一年這些攻擊的趨勢如下圖所示。
安全公告供參考:CVE-2021-34473、CVE-2021-31207 和 CVE-2021-34523。
CVE-2022-1388:BIG-IP F5 中的 RCE
當未經驗證的攻擊者透過網路連接到 BIG-IP 系統(一組應用程式安全和效能解決方案的 F5 產品名稱)時,可以利用這個特別的安全漏洞。攻擊者可以透過管理介面或自行指派的 IP 位址執行不受限制的系統命令。
Cloudflare 進行了緊急發佈來偵測此問題(緊急發佈:2022 年 5 月 5 日),規則為 Command Injection - RCE in BIG-IP - CVE:CVE-2022-1388。
除了 2023 年 6 月下旬出現的高峰外,這種漏洞利用呈現出相對持久的模式,沒有具體活動的跡象。
CVE-2022-22954:VMware Workspace ONE Access 和 Identity Manager 伺服器端範本插入遠端程式碼執行漏洞
利用此漏洞,攻擊者可以遠端觸發伺服器端範本插入,從而可能導致遠端程式碼執行。成功利用該漏洞後,未經驗證的攻擊者可以透過網路存取 Web 介面,從而以 VMware 使用者身分執行任意 shell 命令。後來,該問題與 CVE-2022-22960(本機權限提升漏洞 (LPE) 問題)結合在一起。這兩個漏洞結合之後,讓遠端攻擊者能以 root 權限執行命令。
Cloudflare WAF 針對此漏洞發佈了規則:發佈:2022 年 5 月 5 日。一段時間內的利用嘗試圖如下所示。
CVE-2021-26084:Confluence Server Webwork OGNL 插入
OGNL 插入漏洞允許未經驗證的攻擊者在 Confluence 伺服器或資料中心執行個體上執行任意程式碼。Cloudflare WAF 於 2022 年 9 月 9 日針對此漏洞執行了緊急發佈。與本文中討論的其他 CVE 相比,我們在過去一年中沒有觀察到大量漏洞利用。
增強保護的建議
我們建議所有伺服器管理員在修復可用時保持軟體更新。Cloudflare 客戶(包括我們的免費方案的客戶)可以利用解決 CVE 和 0-day 威脅的新規則,這些規則每週在受管理規則集中更新。高風險 CVE 甚至可能會促成緊急發佈。除此之外,企業方案客戶還可以存取 WAF Attack Score:一種 AI 驅動的偵測功能,可補充基於簽名的傳統規則,識別未知威脅和繞過嘗試。憑藉基於規則和 AI 偵測的綜合優勢,Cloudflare 可以針對已知和新興威脅提供強大的防禦。
結論
Cloudflare 的資料能夠補充 CISA 的漏洞報告。值得注意的是,我們看到利用前兩個漏洞的嘗試比清單中的其餘漏洞要高出幾個數量級。組織應根據提供的清單重點關注其軟體修補工作。當然,所有軟體都應該安裝修補程式,這一點十分重要。良好的 WAF 實施將確保額外的安全性,並為底層系統「爭取時間」,以防止現有和未來的漏洞。