2022 年全球网络安全漏洞 TOP 10 | FreeBuf 年度盘点

墨旱莲

CNVD 公开数据显示，2022 年共披露安全漏洞23900+枚，其中低风险漏洞占比11.13%，中高风险漏洞占比较约53.82%，高危漏洞占比35.05%。从数据可以看出，中高危漏洞占比近89%，如此风险程度的漏洞一旦被潜在网络犯罪分子利用，会给企业组织带来毁灭性打击。
不仅仅漏洞数量和危害程度与日俱增，有漏洞的软硬件占比也逐年增长。新思科技发布的《2022年软件漏洞快照》报告显示，在其对2700多 个 Web 应用、移动应用、源代码文件、软件和网络系统进行安全测试后，结果显示 95% 的应用中存在某种形式的安全漏洞。

中高危漏洞数量占比逐渐攀升主要原因无外乎企业安全预算和及重视程度难以匹配黑客技术迭代和应用设备部署的数量，再加上人工智能、大数据、物联网等新技术的应用，种种因素叠加，造成当下漏洞数量、修补难度、危害程度和影响范围都逐渐增长的现状。
安全人员证实安全漏洞数量是与应用程序及软硬件设备发布时间呈正相关。Veracode 分析结果显示，32% 的应用程序在第一次发布扫描时会出现漏洞，随着时间推移漏洞积累越来越多。
本文从漏洞披露时间、危害程度、影响范围等多个维度，盘点2022年高危漏洞TOP 10（排名不分先后）。
1. F5 BIG-IPF5 BIG-IP 访问控制错误漏洞
CVE编号：CVE-2022-1388
CVE-2022-1388 漏洞于2022年5月首次被披露， 存在于F5 BIG-IP软硬件套件中的BIG-IP iControl REST身份验证组件，主要影响 BIG-IP 16.x: 16.1.0 - 16.1.2、BIG-IP 15.x: 15.1.0 - 15.1.5、BIG-IP 14.x: 14.1.0 - 14.1.4、BIG-IP 13.x: 13.1.0 - 13.1.4、BIG-IP 12.x: 12.1.0 - 12.1.6、BIG-IP 11.x: 11.6.1 - 11.6.5等几个版本。
据悉，CVE-2022-1388漏洞允许未经身份验证的攻击者通过BIG-IP 管理界面和自身IP地址对 iControl REST API 接口进行网络访问，进而在目标主机上执行任意系统命令、创建或删除文件或禁用BIG-IP上的服务。漏洞披露后，研究人员发现旨在擦除设备内容或投放 web shell 恶意脚本的多起攻击企图利用该漏洞。
官方补丁：
2. Spring Framework 远程代码执行漏洞
CVE编号：CVE-2022-22965
springframework 是spring 里面的一个基础开源框架，主要用于javaee的企业开发。2022年3月，Spring框架曝出追踪为CVE-2022-22965的RCE 0day漏洞。安全研究人员发现，一旦攻击者成功利用该漏洞，实现远程代码执行，便可对目标主机的后门文件写入和配置修改，继而通过后门文件访问，获得目标主机权限，进而攻击整个系统。
目前受影响的Spring Framework的版本主要是Spring Framework 5.3.X < 5.3.18 和Spring Framework 5.2.X < 5.2.20。对于CVE-2022-22965漏洞必须加以重视，有证据表明其已经变成网络犯罪分子手里的武器，用于部署加密货币挖矿软件，并且用在了使用臭名昭著的Mirai恶意软件的僵尸网络。
官方补丁：
3. Atlassian Confluence Server 注入漏洞
CVE编号：CVE-2022-26134
Atlassian Confluence是Atlassian公司出品的专业wiki程序，可以作为一个知识管理的工具，通过它能够实现团队成员之间的协作和知识共享。2022年6月3日，Atlassian发布官方公告，披露Atlassian Confluence中存在CVE-2022-26134远程代码执行漏洞。一旦未经身份验证的远程攻击者成功利用该漏洞，就能够创建新的管理员帐户、执行命令并最终接管服务器。

主要受影响版本： 1.3.0