文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

2022 年最常被利用的漏洞

2024-11-30 10:12

关注

此通报提供了有关 2022 年恶意网络攻击者经常利用的常见漏洞和暴露 (CVE) 以及相关常见弱点枚举 (CWE) 的详细信息。到 2022 年,恶意网络攻击者利用旧软件漏洞的频率比最近披露的漏洞和针对未修补的面向互联网的系统的频率更高。

创作机构强烈鼓励供应商、设计人员、开发人员和最终用户组织实施本通报“缓解措施”部分中的建议(包括以下内容),以降低恶意网络行为者危害的风险。

遵循安全软件开发框架 (SSDF)(也称为SP 800-218),并将安全设计实践实施到软件开发生命周期 (SDLC) 的每个阶段。作为其中的一部分,建立一个协调的漏洞披露计划,其中包括确定已发现漏洞的根本原因的流程。

优先考虑默认安全配置,例如消除默认密码,或要求进行其他配置更改以增强产品安全性。

确保发布的 CVE 包含识别漏洞根本原因的正确 CWE 字段。

技术细节

主要发现

到 2022 年,恶意网络攻击者利用旧软件漏洞的频率比最近披露的漏洞和针对未修补的面向互联网的系统的频率更高。许多软件漏洞或漏洞链的概念验证 (PoC) 代码是公开可用的,这可能有助于更广泛的恶意网络行为者的利用。

恶意网络行为者通常在公开披露的头两年内最成功地利用已知漏洞——随着软件的修补或升级,此类漏洞的价值逐渐下降。及时修补会降低已知可利用漏洞的有效性,可能会降低恶意网络行为者的操作速度,并迫使人们寻求成本更高、更耗时的方法(例如开发零日漏洞或进行软件供应链操作)。

恶意网络行为者可能会优先开发严重且全球流行的 CVE 漏洞。虽然经验丰富的攻击者还开发了利用其他漏洞的工具,但开发针对关键的、广泛传播的和众所周知的漏洞的漏洞,为攻击者提供了可以使用数年的低成本、高影响力的工具。此外,网络攻击者可能会对特定目标网络中更普遍的漏洞给予更高的优先级。多个 CVE 或 CVE 链要求攻击者向易受攻击的设备发送恶意 Web 请求,该请求通常包含可通过深度数据包检查检测到的独特签名。

最常被利用的漏洞

表 1 显示了合著者观察到的恶意网络攻击者在 2022 年经常利用的 12 个漏洞:


来源:祺印说信安内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯