آژانسهای امنیتی CISA و NSA و FBI از آمریکا ، ACSC از استرالیا، CCCS از کانادا ، NCSC-NZ و CERT NZ از نیوزلند و NCSC-UK از انگلیس ، یه مشاوره امنیتی مشترک ، در خصوص رایجترین آسیب پذیریهای اکسپلویت شده در سال 2022 منتشر کردن و از جوامع امنیتی خواستن تا اونارو هر چه سریعتر اصلاح کنن. نسخه 2021 این گزارشات رو هم میتونید از اینجا بخونید.
در این مشاوره اومده که بازیگران تهدید در سال 2022، بیش از اینکه از آسیب پذیریهای افشاء شده جدید استفاده کنن، از آسیب پذیری های قدیمی استفاده کردن. اونا اینترنت رو برای کشف سیستم های آسیب پذیر قدیمی جستجو میکنن و عملیات نفوذ رو روشون انجام میدن. برای خیلی از این آسیب پذیری ها PoC و اکسپلویت و زنجیره اکسپلویت منتشر شده و در نتیجه فرایند نفوذ رو سریعتر و گسترده تر میکنه.
معمولا بازیگران تهدید، بیشترین موفقیت رو، در اکسپلویت آسیب پذیری های شناخته شده در دو سال اول افشای عمومی دارن. ارزش این آسیب پذیری ها به تدریج به دلیل ارتقاء و اصلاح نرم افزارها کمتر میشه. بنابراین ارائه بموقع اصلاحیه ها باعث کاهش کارایی آسیب پذیری های شناخته شده و قابل اکسپلویت ، میشه و سرعت عملیات نفوذ رو هم کمتر میکنه و در نتیجه بازیگران تهدید رو مجبور میکنه تا برن سراغ روش های پر هزینه و زمانبر ،مثلا توسعه اکسپلویتهای زیرودی.
بازیگران مخرب معمولا CVE هایی که شدت بالایی دارن و رایج هستن رو، در اولویت قرار میدن. در حالیکه بازیگران پیچیده، ابزارهایی برای اکسپلویت سایر آسیب پذیریها توسعه میدن، آسیب پذیری های حیاتی، گسترده و شناخته شده رو اکسپلویت میکنن که ابزارهای کم هزینه و البته تاثیرگذار رو در اختیار اونا قرار میده که میتونن برای چندین سال ازشون استفاده کنن. همچنین بازیگران تهدید آسیب پذیریهایی رو در اولویت قرار میدن که در شبکه تارگتشون، شایعترن.
چندین CVE و زنجیره CVE، برای اکسپلویت نیاز به ارسال یه درخواست مخرب به دستگاه آسیب پذیر دارن، که اغلب دارای امضایی منحصربه فردی هستن که میشه از طریق deep packet inspection ، اونارو شناسایی کرد.
جدول زیر نشون دهنده 12 آسیب پذیری هست که در سال 2022 توسط بازیگران تهدید بیشتر اکسپلویت شدن و مورد توجه بازیگران تهدید بودن:
| CVE | سازنده | محصول | نوع |
| CVE-2018-13379 | Fortinet | FortiOS and FortiProxy | SSL VPN credential exposure |
| CVE-2021-34473 (Proxy Shell) | Microsoft | Exchange Server | RCE |
| CVE-2021-31207 (Proxy Shell) | Microsoft | Exchange Server | Security Feature Bypass |
| CVE-2021-34523 (Proxy Shell) | Microsoft | Exchange Server | Elevation of Privilege |
| CVE-2021-40539 | Zoho | ADSelfService Plus | RCE/Auth Bypass |
| CVE-2021-26084 | Atlassian | Confluence Server/Data Center | Arbitrary code execution |
| CVE-2021- 44228 (Log4Shell) | Apache | Log4j2 | RCE |
| CVE-2022-22954 | VMware | Workspace ONE | RCE |
| CVE-2022-22960 | VMware | Workspace ONE | Improper Privilege Management |
| CVE-2022-1388 | F5 Networks | BIG-IP | Missing Authentication |
| CVE-2022-30190 | Microsoft | Multiple Products | RCE |
| CVE-2022-26134 | Atlassian | Confluence Server/Data Center | RCE |
آسیب پذیری CVE-2018-13379 :
آسیب پذیری از نوع Path Traversal هستش و در Fortinet SSL VPN رخ میده. شدت بحرانی و امتیاز 9.1 داره. مهاجم بدون احرازهویت ، با ارسال درخواست مخرب HTTP، میتونه فایلهای سیستمی دانلود کنه. نکته ای که هست این آسیب پذیری در سالهای 2020 و 2021 هم مورد توجه بازیگران تهدید بوده که، ادامه روند اون ، نشون دهنده اینکه سازمانها نتونستن اونو بطور کامل اصلاح کنن و همچنان آسیب پذیر موندن.
محصولات آسیب پذیر (اگه سرویس SSL VPN فعال باشه) :
نسخه اصلاح شده:
FortiOS 5.4.13, 5.6.8, 6.0.5 or 6.2.0 and above
FortiProxy versions 1.2.9 or above
FortiProxy versions 2.0.1 or above
نتایج خام شودان برای این آسیب پذیری ، 472,643 مورد برای همه جا و 1,299 مورد برای ایران هستش.
آسیب پذیر های CVE-2021-34473, CVE-2021-31207, CVE-2021-34523 :
زنجیره این آسیب پذیریها با نام ProxyShell معروفه و سرورهای ایمیل Microsoft Exchange رو تحت تاثیر قرار میدن. اجرای زنجیره اکسپلویت منجر به اجرای کد دلخواه میشه. آسیب پذیری ها در Microsoft Client Access Service (CAS) قرار دارن که معمولا روی پورت 443 در Microsoft Internet Information Services (IIS) فعال هستن. CAS معمولاً در معرض اینترنت قرار میگیره تا کاربران بتونن از طریق دستگاه های تلفن همراه و مرورگرهای وب به ایمیل خودشون دسترسی داشته باشن.
- آسیب پذیری CVE-2021-34473 : از نوع SSRF ، شدت بحرانی و امتیاز 9.8 داره و امکان اجرای کد رو به مهاجم راه دور میده.
- آسیب پذیری CVE-2021-31207 : از نوع Path Traversal و شدت متوسط و امتیاز 6.6 داره و امکان دور زدن ویژگی های امنیتی رو میده و در مسابقات Pwn2Own کشف شده.
- آسیب پذیری CVE-2021-34523 : از نوع Improper Authentication و شدت بحرانی و امتیاز 9.8 داره و امکان افزایش امتیاز رو به مهاجم میده.
نسخه های تحت تاثیر :
Microsoft Exchange Server 2019
Microsoft Exchange Server 2016
Microsoft Exchange Server 2013
نتایج خام شودان برای آسیب پذیری Proxyshell، برای کل 163,469 و برای ایران 823 مورد هستش.
آسیب پذیری CVE-2021-40539 :
آسیب پذیری از نوع Improper Authentication و در Zoho ManageEngine ADSelfService Plus رخ میده. مهاجم بدون احرازهویت ، امکان دور زدن احراز هویت و اجرای کد دلخواه داره. آسیب پذیری به دلیل استفاده از یه وابستگی شخص ثالث قدیمی هستش. آسیب پذیری از اواخر 2021 مورد اکسپلویت قرار گرفته و تا سال 2022 ادامه داشته. آسیب پذیری شذت بحرانی و امتیاز 9.8 داره.
نسخه تحت تاثیر :
Zoho ManageEngine ADSelfService Plus version 6113 and prior
نسخه اصلاح شده:
ADSelfService Plus build 6114 ( Sep 7, 2021)
آسیب پذیری CVE-2021-26084 :
آسیب پذیری از نوع OGNL injection هستش و شدت بحرانی و امتیاز 9.8 داره. مهاجم بدون احرازهویت امکان اجرای کد دلخواه رو در ، Atlassian Confluence Server and Data Center داره.
نسخه های تحت تاثیر :
- version < 6.13.23
- 6.14.0 ≤ version < 7.4.11
- 7.5.0 ≤ version < 7.11.6
- 7.12.0 ≤ version < 7.12.5
نسخه های اصلاح شده:
- 6.13.23
- 7.4.11
- 7.11.6
- 7.12.5
- 7.13.0
نتایج خام شودان برای این آسیب پذیری 8,063 ، که از این مقدار ، 104 موردش مربوط به ایران هستش.
آسیب پذیری CVE-2021- 44228 :
آسیب پذیری به Log4Shell هم معروفه و در کتابخونه Apache Log4j که یه فریمورک متن باز برای گزارش گیری هستش و در هزاران برنامه استفاده میشه، رخ میده. شدت اون بحرانی و امتیاز 10 داشته. آسیب پذیری از نوع Improper Input Validation بوده و امکان اجرای کد رو به مهاجم راه دور و احرازهویت نشده میده. این آسیب پذیری در دسامبر 2021 عمومی شد و بازیگران تهدید شروع به استفاده از اون کردن و تا نیمه اول 2022 هم مورد توجه بوده.
نسخه تحت تاثیر :
Apache Log4j2 <=2.14.1
نسخه اصلاح شده:
Apache Log4j2 >=2.15.0
آسیب پذیری CVE-2022-22954 :
آسیب پذیری از نوع server-side template injection هستش و در VMware رخ میده. شدت بحرانی و امتیاز 9.8 داره. مهاجم میتونه با این آسیب پذیری کد دلخواه اجرا کنه. بازیگران تهدید شروع به اکسپلویت این آسیب پذیری از اوایل سال 2022 کردن، و این روند در طول سال هم ادامه داشته.
نسخه های تحت تاثیر و اصلاح شده:
| محصول | نسخه تحت تاثیر | پلتفرم | نسخه اصلاح شده |
| VMware Workspace ONE Access | 21.08.0.1, 21.08.0.0 | لینوکس | KB88099 |
| VMware Workspace ONE Access | 20.10.0.1, 20.10.0.0 | لینوکس | KB88099 |
| VMware Identity Manager | 3.3.6, 3.3.5, 3.3.4, 3.3.3 | لینوکس | KB88099 |
| VMware Cloud Foundation (vIDM) | 4.x | همه | KB88099 |
| vRealize Suite Lifecycle Manager (vIDM) |
8.x |
همه | KB88099 |
نتایج خام شودان برای این آسیب پذیری ، 808 مورد هستش .
آسیب پذیری CVE-2022-22960 :
مهاجم امکان افزایش امتیاز به کاربر root رو در محصولات Vmware داره. شدت اون بالا و امتیاز 7.8 داره. بازیگران تهدید شروع به اکسپلویت این آسیب پذیری ،از اوایل سال 2022 کردن، و در طول سال هم ادامه دادن.
نسخه های تحت تاثیر و اصلاح شده:
| محصول | نسخه تحت تاثیر | پلتفرم | نسخه اصلاح شده |
| VMware Workspace ONE Access | 21.08.0.1, 21.08.0.0 | لینوکس | KB88099 |
| VMware Workspace ONE Access | 20.10.0.1, 20.10.0.0 | لینوکس | KB88099 |
| VMware Identity Manager | 3.3.6, 3.3.5, 3.3.4, 3.3.3 | لینوکس | KB88099 |
| VMware vRealize Automation | 7.6 | لینوکس | KB88099 |
| VMware Cloud Foundation (vIDM) | 4.x | همه | KB88099 |
| VMware Cloud Foundation (vRA) | 3.x | همه | KB88099 |
| vRealize Suite Lifecycle Manager (vIDM) | 8.x | همه | KB88099 |
نتایج خام شودان برای این آسیب پذیری ، 808 مورد هستش .
آسیب پذیری CVE-2022-1388 :
آسیب پذیری از نوع Missing Authentication و دارای امتیاز 9.8 و شدت بحرانی داره. مهاجم امکان دور زدن احرازهویت iControl REST در محصولات F5 داره.
نسخه های تحت تاثیر:
- BIG-IP versions 16.1.0 to 16.1.2
- BIG-IP versions 15.1.0 to 15.1.5
- BIG-IP versions 14.1.0 to 14.1.4
- BIG-IP versions 13.1.0 to 13.1.4
- BIG-IP versions 12.1.0 to 12.1.6
- BIG-IP versions 11.6.1 to 11.6.5
نسخه های اصلاح شده:
BIG-IP v16.1.2.2، v15.1.5.1، v14.1.4.6, v13.1.5 , 17.0.0
نتایج خام شودان برای این آسیب پذیری 12,270 هستش که از این مقدار یه موردش در ایران هستش.
آسیب پذیری CVE-2022-30190 :
آسیب پذیری در Microsoft Support Diagnostic Tool (MSDT) ویندوز رخ میده دارای شدت بالا و امتیاز 7.8 هستش. مهاجم راه دور ، بدون احرازهویت با فراخوانی MSDT از طریق یه پروتکل URL از داخل یه برنامه مثلا word ، امکان اجرای کد دلخواه داره. مایکروسافت این آسیب پذیری رو در بروزرسانی ژوئن 2022/خرداد 1401 اصلاح کرده. جزییات اکسپلویت این آسیب پذیری رو میتونید از اینجا مشاهده کنید.
محصولات تحت تاثیر:
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows RT 8.1
Windows 8.1
Windows 7
Windows Server 2016
Windows 10 Version 1607
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2
Windows 11 Version 21H2
Windows Server, version 20H2
Windows 10 Version 20H2
Windows Server 2022
Windows 10 Version 21H1
Windows Server 2019
Windows 10 Version 1809
آسیب پذیری CVE-2022-26134 :
آسیب پذیری از نوع OGNL injection و در Atlassian Confluence and Data Center رخ میده. دارای امتیاز 9.8 و شدت بحرانی هستش. مهاجم بدون احراز هویت و از راه دور امکان اجرای کد از راه دور داره. آسیب پذیری قبل از افشاء ، در ژوئن 2022 بعنوان یه زیرودی مورد اکسپلویت قرار گرفته بود. این آسیب پذیری مرتبط با آسیب پذیری قدیمی CVE-2021-26084 هستش که اینم در سال 2022 مورد استفاده قرار گرفته بود.
نسخه های تحت تاثیر:
Confluence Server & Data Center 7.4.0, 7.4.16, 7.13.0, 7.13.6, 7.14.0, 7.14.2, 7.15.0, 7.15.1, 7.16.0, 7.16.3, 7.17.0, 7.17.3, 7.18.0
نسخه اصلاح شده:
Confluence Server & Data Center 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4, 7.18.1
نتایج خام شودان برای این آسیب پذیری ، 4,801 مورد هستش که از این مقدار 86 موردش در ایران هستش.
سایر آسیب پذیری های مورد توجه مهاجمین در سال 2022 :
علاوه بر آسیب پذیری های بالا که بیشتر مورد توجه مهاجمین بودن، آژانسها یسری آسیب پذیری دیگه رو هم شناسایی کردن که بطور معمول توسط مهاجمین استفاده شدن.
| آسیب پذیری | سازنده | محصول | نوع آسیب پذیری | CWE |
| CVE-2017-0199 | Microsoft | Multiple Products | اجرای کد دلخواه | N/A |
| CVE-2017-11882 | Microsoft | Exchange Server | اجرای کد دلخواه | CWE-119 : Buffer Overflow |
| CVE-2019-11510 | Ivanti | Pulse Secure Pulse Connect Secure | خوندن فایل دلخواه | CWE 22: Path Traversal |
| CVE-2019-0708 | Microsoft | Remote Desktop Services | اجرای کد از راه دور | CWE-416: Use After Free |
| CVE-2019-19781 | Citrix | Application Delivery Controller and Gateway | اجرای کد دلخواه | CWE 22: Path Traversal |
| CVE-2020-5902 | F5 | BIG-IP | اجرای کد از راه دور | CWE 22: Path Traversal |
| CVE-2020-1472 | Microsoft | Multiple Products | افزایش امتیاز | CWE-330: Use of Insufficiently Random Values |
| CVE-2020-14882 | Oracle | WebLogic Server | اجرای کد از راه دور | N/A |
| CVE-2020-14883 | Oracle | WebLogic Server | اجرای کد از راه دور | N/A |
| CVE-2021-20016 | SonicWALL | SSLVPN SMA100 | SQLi | CWE-89:SQLi |
| CVE-2021-26855
(ProxyLogon) |
Microsoft | Exchange Server | اجرای کد از راه دور | CWE-918: SSRF |
| CVE-2021-27065
(ProxyLogon) |
Microsoft | Exchange Server | اجرای کد از راه دور | CWE 22: Path Traversal |
| CVE-2021-26858
(ProxyLogon) |
Microsoft | Exchange Server | اجرای کد از راه دور | N/A |
| CVE-2021-26857
(ProxyLogon) |
Microsoft | Exchange Server | اجرای کد از راه دور | CWE-502: Deserialization of Untrusted Data |
| CVE-2021-20021 | SonicWALL | Email Security | افزایش امتیاز زنجیره اکسپلویت | CWE-269: Improper Privilege Management |
| CVE-2021-40438 | Apache | HTTP Server | Server-Side Request Forgery | CWE-918: SSRF |
| CVE-2021-41773 | Apache | HTTP Server | Server Path Traversal | CWE 22: Path Traversal |
| CVE-2021-42013 | Apache | HTTP Server | Server Path Traversal | CWE 22: Path Traversal |
| CVE-2021-20038 | SonicWall | SMA 100 Series Appliances | Stack Buffer Overflow | CWE-787: Out-of-bounds Write
CWE-121: Stack-based Buffer Overflow |
| CVE-2021-45046 | Apache | Log4j | اجرای کد از راه دور | CWE-917: Expression Language Injection |
| CVE-2022-42475 | Fortinet | FortiOS | Heap Buffer Overflow | CWE-787: Out-of-bounds Write |
| CVE-2022-24682 | Zimbra | Collaboration Suite | XSS | CWE-79:Cross-site Scripting |
| CVE-2022-22536 | SAP | Internet Communication Manager (ICM) | HTTP Request Smuggling | CWE-444: HTTP Request/Response Smuggling
CWE-94: Code Injection |
| CVE-2022-22963 | VMware Tanzu | Spring Cloud | اجرای کد از راه دور | CWE-917: Expression Language Injection |
| CVE-2022-29464 | WSO2 | Multiple Products | اجرای کد از راه دور | CWE-434: Unrestricted Upload of File with Dangerous Type |
| CVE-2022-27924 | Zimbra | Zimbra Collaboration Suite | Command Injection | CWE-74:Injection |
| CVE-2022-22047 | Microsoft | Windows CSRSS | افزایش امتیاز | CWE-269: Improper Privilege Management |
| CVE-2022-27593 | QNAP | QNAP NAS | Externally Controlled Reference | CWE-610: Externally Controlled Reference to a Resource in Another Sphere |
| CVE-2022-41082 | Microsoft | Exchange Server | افزایش امتیاز | N/A |
| CVE-2022-40684 | Fortinet | FortiOS, FortiProxy, FortiSwitchManager | دور زدن احراز هویت | CWE-306: Missing Authentication for Critical Function |
اقدامات کاهشی :
آژانس ها مشارکت کننده اقدامات زیر رو برای سازندگان و توسعه دهندگان پیشنهاد دادن :
- کلاسهای آسیب پذیری هایی که مکرر اکسپلویت میشن رو شناسایی و رفع کنید. مثلا اگه در یه محصولی چند تا SQLi کشف و گزارش شده، تمام کوئری های مرتبط با دیتابیس بررسی کنید تا اگه مورد دیگه هم بود ، شناسایی و اصلاح کنید.
- مطمئن شوید که رهبران کسب و کار ، مسئول امنیت هستن. رهبران کسب و کار باید اقدامات پیشگیرانه ای برای رفع کلاس های آسیب پذیری انجام بدن، نه اینکه اصلاحیه های یکبار مصرف برای آسیب پذیری های تازه کشف شده ارائه بدن.
- SSDF (SP 800-218) رو دنبال کنید و شیوه های طراحی ایمن رو در هر مرحله از SDLC پیاده سازی کنید. از جمله استفاده از زبانهایی با ویژگی حافظه ایمن ، دقت در انتخاب اجزای نرم افزاری مانند کتابخونه ها و ماژول ها و … ، پیکربندی امن پیش فرض و … .
- ارائه تنظیمات پیش فرض امن مانند حذف گذرواژه های پیش فرض، استفاده از تکنولوژی SSO ، ارائه لاگ با کیفیت بالا بدون هزینه و پیکربندی خاص
- اطمینان حاصل کنید که CVE های منتشر شده ،شامل CWE باشن ،تا علت اصلی آسیب پذیری شناسایی بشه و امکان تجزیه و تحلیل امنیتی و نقص های طراحی رو فراهم کنه.
- برای بدست آوردن جزییات بیشتر در خصوص طراحی محصولات ایمن بر اساس طراحی و پیشفرض امن، میتونید از این راهنما هم استفاده کنید.
آژانس ها اقدامات کاهشی زیر رو هم برای کاربران نهایی توصیه کردن :
- مدیریت آسیب پذیری و پیکربندی:
- بروزرسانی به موقع نرم افزارها، سیستم عاملها، برنامه های کاربردی و فریمورها.
- فرایند شناسایی خودکار دارایی ها رو ، روی همه دارایی ها انجام بدید تا بتونید، همه نرم افزارها، سخت افزارها ، سرویس ها و سیستم هارو شناسایی کنید.
- اجرای یه فرآیند مدیریت اصلاحیه قوی و سیستم مدیریت اصلاحیه متمرکز که قابلیت اولویت بندی اصلاحیه ها رو داره.
- پیکربندی های secure baseline رو برای همه اجزای IT/OT، از جمله زیرساخت ابری، مستند کنید.
- پشتیبان گیری منظمی انجام بدید تا بتونید نسخه های تمیزی برای همه ی سیستم ها داشته باشید.
- یه طرح پاسخ به حوادث بروز رو نگهداری کنید که حداقل سالیانه یه بار تست میشه و در یه چارچوب زمانی آگاهانه از خطر ،بروز میشه تا از اثربخشی اون اطمینان حاصل کنید.
- مدیریت شناسه ها و دسترسی ها:
- برای همه کاربران بدون استثناء ، MFA رو فعال کنید تا از حملات فیشینگ محافظت کنه.
- MFA رو برای VPNها فعال کنید . اگه این قابلیت ندارن، از پسوردهای قوی استفاده کنید.
- اکانتهایی که دارای امتیاز هستن، حداقل یکبار در سال، بصورت مرتب بررسی ، تایید و حذف کنید.
- کنترل دسترسی رو براساس حداقل امتیاز اعمال کنید.
- کنترلهای حفاظتی و معماری:
- دستگاه های شبکه متصل به اینترنت رو به درستی پیکربندی و ایمن کنید، پورت ها و پروتکل های شبکه استفاده نشده یا غیر ضروری رو غیرفعال کنید، ترافیک شبکه رو رمزگذاری کنید و سرویس ها و دستگاه های شبکه استفاده نشده رو غیرفعال کنید.
- برای محدود یا مسدود کردن حرکت جانبی ، کنترل دسترسی به برنامهها، دستگاهها و پایگاههای داده، معماری Zero Trust Network Architecture (ZTNA) رو پیادهسازی کنید
- بطور مداوم سطح حمله رو رصد کنید و فعالیت غیرعادی که ممکن نشون دهنده حرکت جانبی بازیگر تهدید یا بدافزار باشه رو، بررسی کنید
- امنیت زنجیره تامین:
- استفاده از برنامههای شخص ثالث و ساخت سیستمها/برنامههای منحصربهفرد رو کاهش بدید.
- از ارائه دهندگان نرم افزار خود بخوایید که در مورد طراحی ایمن خودشون مستنداتی ارائه بده و اطلاعاتی درباره نحوه کار اونا برای حذف کلاس های آسیب پذیری و تنظیم تنظیمات پیش فرض ایمن ارائه بده.