1、 400-189-9287 1/QINGTENG 2022 漏洞管理指南 CONTENTS 执行摘要.2 漏洞简介.3 什么是漏洞？.3 漏洞、威胁与风险.3 漏洞的类型.4 漏洞管理.4 漏洞管理的必要性.5 漏洞的标准化建模.5 漏洞管理的流程.7 全生命周期的漏洞管理.10 改善漏洞管理的步骤.11 定期进行渗透测试.11 制定漏洞补丁时间计划表.11 进行细粒度的 IT 资产盘点.12 随时更新网络威胁情报.12 加强网络安全基础设施的管理.12 比快更快，比准更准的漏洞管理方案.13 总结.15 附录：2021 年最常被利用的 TOP15 漏洞.16 2021 年最常被利用的 Top

2、15 漏洞.16 漏洞缓解措施.18 400-189-9287 2/QINGTENG 2022 漏洞管理指南 执行摘要执行摘要 如果要说 2021 年的网络安全形势对今年有什么启示，那就是不要用过去的武器对抗今天的战役。在漏洞管理领域尤为如此。对于很多企业来说，漏洞管理始终是一个让人头痛的难题。在过去的一年里，由于漏洞的原因，发生了两件骇人听闻的安全事件：2021 年伊始，安全行业遇到了前所未有的 Solar Winds 供应链攻击；2021 年结束时，又发现了更令人震惊的Log4Shell 漏洞，影响到数以亿计的设备。除此之外，漏洞的发展还呈现出以下态势：新增漏洞达到有史以来最高数量。新增漏

3、洞达到有史以来最高数量。2021 年公布的新漏洞有 20175 个，比 2020 年的 18341个有所增长，数量再创新高。这是有史以来报告漏洞最多的一年，也是 2018 年以来漏洞数量同比增长最大的一年。这些新增漏洞和历史漏洞累计形成了庞大的漏洞库，让安全和运维团队更难对漏洞进行优先级排序和补救。加密加密劫持和勒索软件导致产生新的恶意软件。劫持和勒索软件导致产生新的恶意软件。过去一年里，恶意软件行业继续涌现出各种各样的恶意软件，特别是加密劫持和勒索软件程序，这让威胁行为者更容易发动攻击并且很容易获得快钱。威胁者利用漏洞的速度加快。威胁者利用漏洞的速度加快。有数据显示，在野漏洞利用的数量增加了

4、 24%，这表明网络犯罪分子现在利用新漏洞的速度加快，留给安全团队在真正发生攻击前检测并处理漏洞的时间更短了。在漏洞数量快速增长，攻击者攻击手段不断更新的情况下，没有一个行业是安全的，甚至我们依赖的能源、水和食物等关键基础设施也受到攻击。根据 Ponemon 研究所与 IBM 发布的2021 数据泄露成本报告显示，2021 年数据泄露的平均成本是 424 万美元。为提高漏洞管理效率，本指南详细阐释了漏洞的概念，介绍了漏洞的标准化建模与全生命周期的漏洞管理，并列出了 2021 年最常被利用的 TOP15 漏洞，以期帮助更多用户更好地处理漏洞问题，减少因漏洞而引发的攻击。400-189-9287

5、3/QINGTENG 2022 漏洞管理指南 漏洞简介漏洞简介 网络犯罪分子可以利用漏洞来实现任何特定目的，因此，组织机构需要识别漏洞，并定期了解漏洞的最新更新情况和预防流程，以提高系统操作的安全性。解决和管理在逐年攀升的漏洞，需要按照严格的要求进行漏洞检测和补救。一些重大漏洞是硬件、程序、网络和软件的漏洞。什么是漏洞？什么是漏洞？原则上，漏洞是指系统或网络中的一个脆弱点，其可能会被网络犯罪分子利用，以获得未经授权的访问，从而造成破坏。漏洞利用之后会发生什么呢，谁也说不准安装恶意软件、窃取敏感数据、利用恶意代码造成损害等等。以下是有关漏洞的几个官方定义：NIST：系统、系统安全程序、内部控制或

6、实施中存在的脆弱点，其可能会被威胁行为者利用或触发。ISO 27005：资产中存在的、可被威胁行为者利用的脆弱点，其中资产是指对组织机构、其业务运营及其连续性有价值的任何东西，包括支持组织使命的信息资源。IETF RFC 4949：系统设计、实施或操作和管理中存在的缺陷或脆弱点，其可能会被利用，违反系统的安全策略。漏洞、威胁与风险漏洞、威胁与风险 在了解了漏洞的定义之后，我们来看一下漏洞与威胁、风险的异同。漏洞漏洞 vs 威胁威胁 漏洞是会破坏组织机构 IT 安全体系的差距或脆弱点，而威胁则是组织机构所面临的风险，包括植入危险的可执行文件、恶意软件攻击、勒索软件攻击等等。威胁潜伏在当今的网络威

7、胁环境中，寻找环境中可以利用的漏洞。没有相同的两种威胁，总会有一些威胁比其他威胁更有可能实现漏洞利用。漏洞漏洞 vs 风险风险 风险是指对组织机构的网络安全和漏洞的潜在威胁的彻底评估。它不只是考虑漏洞被利用的概率，也考虑事件对组织机构的潜在商业影响。400-189-9287 4/QINGTENG 2022 漏洞管理指南 漏洞的类型漏洞的类型 漏洞有多种类型和形式。常见的漏洞类型包括以下几种。软硬件漏洞软硬件漏洞 硬件漏洞是指设备或系统中的缺陷或脆弱点，能够让攻击者远程或现场利用系统。常见的硬件漏洞包括设备未加密、未对存储设备加以保护、以及系统或设备版本老旧。软件漏洞是指软件中的缺陷或瑕疵，攻击

8、者可以基于此远程控制系统。这些缺陷有时与软件编码或设计有关。例如，某些软件漏洞是缺乏输入验证、跨网站脚本、数据未加密造成的等。网络漏洞网络漏洞 网络漏洞会导致软硬件问题暴露给恶意软件或配置欠妥当的防火墙。常见的网络漏洞包括错误配置的防火墙、社工攻击和无保护的网络通信。此外，一个简单的网络系统中存在着许多应用程序和操作系统，从而让攻击者通过利用其中的缺陷或漏洞进入整个网络。程序性程序性/操作性漏洞操作性漏洞 如果组织机构的安全程序存在漏洞，也会让组织机构受到攻击。为了提高安全性，组织机构需要遵守标准的密码策略。组织机构需要适当地维护各种操作程序，以避免被利用。组织机构的网络安全系统需要按照最佳实

9、践来以防止攻击者不定期的网络攻击。组织机构进行良好的培训和知识共享有助于避免恶意软件攻击，并减少漏洞利用。操作系操作系统漏洞统漏洞 操作系统漏洞是指应用软件或操作系统内的缺陷。这些漏洞是操作系统内的操作逻辑或代码中的错误，攻击者会利用这些漏洞来获得访问权限并造成破坏。恶意软件、网络入侵、缓冲区溢出和虚拟化是攻击者利用操作系统漏洞时的常用攻击向量。但尽管如此，也很难开发一个完全没有漏洞的软件。漏洞管理漏洞管理 漏洞管理是用于识别、评估、管理整个组织机构的系统和软件漏洞并针对漏洞采取补救措施 400-189-9287 5/QINGTENG 2022 漏洞管理指南 的系统性和战略性流程。漏洞管理会监

10、测风险并保持组织机构的当前安全状态。因此，组织机构必须通过漏洞管理来维护系统安全并减少威胁。漏洞管理的必要性漏洞管理的必要性 漏洞是网络犯罪分子可以使用或利用的薄弱环节或关键领域。随着漏洞数量的不断增加，确保网络安全迫在眉睫。漏洞管理是识别和评估 IT 系统风险的过程，旨在清除漏洞或采取措施进行补救。漏洞管理的主要目标是扫描、调查、分析和报告风险或安全漏洞的细节，并提供缓解方法和策略。漏洞管理是解决和补救安全漏洞以避免网络攻击或漏洞利用的持续过程。漏洞管理有助于识别和消除薄弱环节，确保网络免受潜在攻击、编码错误或缺陷的影响。漏洞管理是确保网络安全的基本方法，有助于提高系统的安全性。漏洞扫描在漏

11、洞管理过程中起着重要作用。漏洞扫描是检测、评估和评价系统和软件漏洞的过程。检测漏洞或脆弱点有助于避免攻击者造成进一步的损害。NIST 建议每季度进行一次漏洞扫描。对于依赖网络满足日常运营需求或拥有大规模敏感数据的组织，也建议每月或更多地进行漏洞扫描。网络安全和计算机安全是漏洞管理的基本组成部分。它控制着与信息有关的安全风险，并专注于复杂的网络犯罪情况。通过对 IT 环境中所涉及的风险进行漏洞处理，可以确保持续了解漏洞情况。为实现有效的网络安全效果，可以采用各种扫描和检测工具。采用工具进行漏扫比人工安全系统效果更好。虽然工具采购需要投资，但这在组织机构可负担的起的范围内。而且，与泄露敏感数据损失

12、数十亿元相比，采用工具更划算。漏洞的标准化建模漏洞的标准化建模 当下，漏洞分类标准和漏洞模型都有一定成熟度，有不少标准化模型，包括 CWE、CVE、CVSS、CPE、CAN、CAPEC、CKC 等。在漏洞管理中，它们在不同阶段发挥着不同作用，这是安全人员需要提前了解的。400-189-9287 6/QINGTENG 2022 漏洞管理指南 图图 1：标准化漏洞模型标准化漏洞模型 CWE（CommonWeaknessEnumeration）：是开发的常见软件和硬件安全弱点列表。基本上可以认为CWE是所有漏洞的原理基础性总结分析，CVE中相当数量的漏洞的成因在CWE中都可以找到相应的条目。如在代码

13、层、应用层等多个方面的缺陷，从 CWE 角度看，正是由于 CWE 的一个或多个缺陷，从而形成了 CVE 的漏洞。CVE（Common Vulnerabilities&Exposures）：公开的漏洞都拥有唯一标识，漏洞编号就好比是出版物的 ISBN 号。目前最常见的漏洞编号，是引用 MITRE 组织推出的 CVE 编号系统，编号由（CVE Numbering Authorities）CNAs 分配。漏洞信息通常包括简要描述、告警、缓解措施和报告。CVE 就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。但并不是有公开披露的漏洞都有一个相关的 CVE-ID。保

14、密的和未公开披露的漏洞通常被称为零日漏洞。CVSS（Common Vulnerability Scoring System）：CVSS 建立于 1990 年，目前由 FIRST 负责运营。它通常是基于对每个漏洞特征进行定量计算一个大致的评分（0-10 分），然后输出一个定性值（低、中或高）。当前的 CVSS 最新版本是 2019 年 6 月发布实施 v3.1。CPE（Common Platform Enumeration）：通用平台枚举项，为 IT 产品和平台提供了统一的名称，原来属于 MITRE 运营，2014 年交由 NIST，作为 NVD 基础资源的一部分。它是对 IT产品的统一命名规范

15、，包括系统、平台和软件包等，CPE 在信息安全风险评估中对应资产识别。CAPEC(Common Attack Pattern Enumeration and Classification）：是攻击模式枚举分类，是美国国土安全部建立于 2007 年，现在主要是由 MITRE 在运营，提供了公开的可用攻击模式，在信息安全风险评估中应对威胁。400-189-9287 7/QINGTENG 2022 漏洞管理指南 OVAL（Open Vulnerability and Assessment Language）：用于表达系统安全状态，是可以用于检测的技术细节指导，包括获取系统配置信息、分析状态、输出报告

16、三个步骤。OVAL建立于 2010 年，2016 年从 MITRE 转交给 CIS 组织。CKC（cyber-attacks and the Cyber Kill Chain）：CKC 的全面理解是建立在对漏洞生命周期的认识，包括漏洞出现和利用。CKC 还通过分配特定事件的攻击行为来提供威胁情报，并使用模型描述来理解这些行为。这种知识有助于目标系统的操作员确定一个成功的防御策略和解决某些网络攻击问题。漏洞管理的流程漏洞管理的流程 漏洞管理流程一般情况下分为五个步骤：识别、评估、排序、补救、以及报告。图图 2：漏洞管理的五个步骤：漏洞管理的五个步骤 识别识别 漏洞识别是我们通常所说的漏洞扫描，也

17、是漏洞管理的第一步。根据现有资产情况，需要进行漏洞扫描的资产通常包括笔记本、PC、服务器、数据库、防火墙、交换机、路由器、打印机等。漏洞扫描需要对所有这些资产进行扫描，以发现已知漏洞。400-189-9287 8/QINGTENG 2022 漏洞管理指南 评估评估 漏洞评估是在漏洞识别的基础上进行漏洞严重性的评估，这一步非常重要会影响到后面的补救步骤。比较常见的漏洞评估是使用通用漏洞评分系统（CVSS）评分法。CVSS 是一个标准的漏洞管理解决方案，用于对漏洞进行风险评级和打分。根据 CVSS 的分数，可以将漏洞分为危急、高危、中危和低危。使用不同工具有助于评估整个系统的不同漏洞。例如，Web

18、应用扫描器可以扫描已知的攻击模式，协议扫描器可以检查启用的 IP 级协议，端口扫描器可以发现开放的端口。排序排序 由于漏洞越来越多，组织机构很难，有时甚至不可能解决所有漏洞。根据风险系数或威胁对漏洞进行优先级排序，可以更好地补救漏洞。在漏扫报告中确定优先级指标和评级，以便在后续的补救阶段进行深入分析。漏洞识别原理漏洞识别原理 漏洞识别一般是通过漏洞扫描器实现的，识别漏洞的形式无外乎有四种：非认证式扫描、认证式扫描、API 扫描、被动流量扫描，前两种是最普遍的方式。非认证方式扫描，也称为网络扫描方式（Network Scanning），基本原理就是发送 Request 包，根据Response

19、包的 banner 或者回复的报文来判断是否有漏洞，这种分析 Response 包内容的主要逻辑是版本比对或者根据 PoC 验证漏洞的一些详情来判断。认证式扫描也称为主机扫描方式（Agent Based Scanning），这种方式可以弥补网络方式的很多误报或者漏报的情况，扫描结果更准，但是会要求开发登录接口，需要在主机进行扫描。以Nessus 举例，基本流程是下发一个脚本执行引擎和 NASL 脚本进行执行，在主机保存相关数据，然后上报服务端，最后清理工作现场。API 扫描与应用扫描方式类似，这里不做深入分析。被动式流量扫描比主动式的流量扫描从带宽 IO 上没有任何影响，但是需要对所有请求和返

20、回包进行分析，效果来说最差，因为某些应用如果没有请求过就无法被动地获取相关流量数据进行分析。400-189-9287 9/QINGTENG 2022 漏洞管理指南 补救补救 这一步是针对发现的漏洞进行补救和处理。在这个过程中，正确的补救方法和具体的处理策略是至关重要。漏洞补救不是简单的打补丁，而是一个系统化的流程。漏洞补救过程通常包括以下几个步骤：获取厂商的补丁；分析补丁的依赖和系统的兼容性以及补丁的影响；建立回滚计划，防止补丁对业务造成未知影响；在测试环境测试补丁修复情况；在部分生产环境测试补丁修复情况；进行灰度上线补丁计划，乃至全量补丁修复；分析补丁修复后的系统稳定并监控；进行验证补丁是否

21、修复成功，漏洞是否依然存在。对于很多无法直接根除漏洞进行补丁修复的情况，比如 0Day，不在支持范围的系统或者软件，业务需求无法中断，补丁速度滞后等情况，我们要采取降低漏洞影响的操作，如下图所示：图图 3：漏洞缓解措施：漏洞缓解措施 400-189-9287 10/QINGTENG 2022 漏洞管理指南 通常，可以通过网络、终端、应用和数据等几个方面来采取漏洞缓解措施，具体的缓解措施包括：隔离系统网络，包括防火墙规则和网络区域划分；网络访问控制；NIPS、WAF、SW、DAP、RASP 等软件或者设备签名规则更新；HIPS 终端类安全产品进行阻断；EPP 类安全产品类似白名单机制、系统加固等

22、；阻断有漏洞软件的网络连接；主机防火墙进行端口阻断。报告报告 这一步至关重要，会传达有关资产清点、安全漏洞和整体风险的关键发现。报告中还会介绍最相关的漏洞及其补救方法的详细信息。漏洞报告的重要组成部分包括执行摘要、评估概述和漏洞详情。全生命周期的漏洞管理全生命周期的漏洞管理 当今的漏洞管理生命周期理论是由 Arbaugh 等人在 2000 年左右定义的概念。通过漏洞生命周期映射，可定义过渡边界的事件。由于漏洞会触发相关的漏洞利用事件，风险程度也在提高，有了补丁可用之后，风险程度则会降低。图图:4：漏洞生命周期：漏洞生命周期 漏洞产生阶段（漏洞产生阶段（Creation）：）：漏洞尚未被发现或者

23、利用,因此,该阶段安全漏洞无风险。400-/QINGTENG 2022 漏洞管理指南 漏洞发现阶段（漏洞发现阶段（Discovery）：）：当漏洞刚被发现时,对漏洞的挖掘和利用处于探索阶段,并且掌握漏洞信息的人员数量少,因此,该阶段漏洞风险较低。漏洞公开阶段（漏洞公开阶段（Disclosure）：）：由于漏洞处于公开但未提供补丁的状态,越来越多的潜在攻击者开始关注此安全漏洞。攻击方式也会发生改变,例如攻击由简单的代码供给转变为自动攻击工具,使低技能攻击者开始尝试漏洞利用,随时间推移，漏洞风险持续升高。漏洞评估阶段（漏洞评估阶段（Assess）：）：随着攻击脚本的传播,更多的

24、攻击者掌握了漏洞的利用方法,从整体上看,漏洞风险不断增长，达到高峰期。漏洞修复阶段（漏洞修复阶段（Patched）：）：随着补丁释放,安装用户增多,安全风险不断降低。由于不同漏洞的复杂度差别较大，对于未能提供补丁的漏洞，相关组织机构也会采取一些手段切断黑客漏洞利用的攻击链路。改善漏洞管理的步骤改善漏洞管理的步骤 在网络安全领域的长期实战中，我们总结出了以下步骤来改善漏洞管理。定期进行渗透测试 制定漏洞补丁时间计划表 进行细粒度的 IT 资产盘点 随时更新网络威胁情报 加强网络安全基础设施的管理定期进行渗透测试定期进行渗透测试 网络安全应优先考虑针对外部攻击的网络安全，主要是穿透网络。渗透测试在

25、网络安全威胁管理是公认有效的手段。它通过检测和修复漏洞，确保企业的网络安全。通过渗透测试定期进行漏洞管理可以让组织机构详细地了解安全漏洞并采取相应的控制措施。有关渗透测试的详细信息，请参见青藤官网“资源下载中”的渗透测试提供商选型指南。制定漏洞补丁时间计划表制定漏洞补丁时间计划表 组织机构需要定期进行软件更新，因为供应商的软件始终在不断迭代和改进。进行软件更新 400-189-9287 12/QINGTENG 2022 漏洞管理指南 后，可以对抵御攻击者起到最佳作用。但在进行更新前，需要对更新版本进行测试，以免更新后出现问题。进行细粒度的进行细粒度的 IT 资产资产盘点盘点 在对软件进行漏洞研

26、究的同时，硬件也需要关注，不应该被遗忘。老旧的或被遗忘的硬件或程序很容易成为攻击者的目标。这类资产会成为企业的严重漏洞，因此，组织机构需要定期跟踪或清点软硬件资产。随时更新网络威胁情报随时更新网络威胁情报 随着网络威胁数量不断增长，组织机构掌握的威胁信息总是很少，因此，组织机构需要不断了解并识别最新威胁和漏洞。关注和跟踪潜在漏洞有助于组织机构改善网络安全状况，避免最新的威胁。加强网络安全基础设施的管理加强网络安全基础设施的管理 组织机构需要保持良好的网络安全实践，以改善基础设施的安全性。员工和工作人员应正确理解良好的网络安全实践，并按此行事。任何疏忽或不良实践都可能导致发生漏洞利用。因此，定期

27、更新和适当的员工培训，有助于实现良好的网络安全实践。青藤万相资产清点青藤万相资产清点 青藤万相可以通过设置检查规则，自动检查已安装探针主机，以及所在网络空间未纳入安全管理的主机，包括老旧的或被遗忘的服务器。此外，青藤万相的资产清点功能可根据用户需要，自定义时间周期，自动化构建细粒度资产信息，可对主机资产、应用资产、Web 资产等进行全面清点，保证用户可实时掌握所有主机资产情况，包括Web、系统、进程、端口、账号、软件应用等。400-189-9287 13/QINGTENG 2022 漏洞管理指南 比快更快，比准更准的漏洞管理方案比快更快，比准更准的漏洞管理方案 青藤万相风险发现功能致力于帮助用

28、户精准发现内部风险，帮助安全团队快速定位问题并有效解决安全风险。通过风险发现，青藤万相能提供详细的资产信息、风险信息以供分析和响应，从而为客户提供以下三大核心价值：1.准确的风险识别，白盒视角的风险发现比黑盒更准确。准确的风险识别，白盒视角的风险发现比黑盒更准确。基于 Agent 的漏洞扫描，在准确性上拥有天然优势。传统漏扫产品对资产覆盖的深度和广度不足，导致检测准确率不高。2.极大提升扫描效率，在复杂环境下依然能达到极高的效率。极大提升扫描效率，在复杂环境下依然能达到极高的效率。传统漏扫产品效率低，而基于 Agent 方式可快速完成全部扫描。因此，一旦出现新的漏洞可在在很短时间内完成检测工作

29、。3.自动关联资产数据，定位相关负责人以及属于何种业务。自动关联资产数据，定位相关负责人以及属于何种业务。在查到某机器上存在某个漏洞之后，可迅速知道谁负责这台机器。典型应用场景一：新高危漏洞的快速应急检测典型应用场景一：新高危漏洞的快速应急检测 通过风险发现功能，可以快速进行响应，绝大部分漏洞都可通过资产识别直接定位，对于无法识别的漏洞可以通过编写检测脚本将其配置到检测系统中即可。例如，攻方团队利用了Weblogic 反序列化漏洞、JBOSS 远程代码执行漏洞、Apache Axis 远程命令执行漏洞等多个0Day 漏洞进行攻击。400-189-9287 14/QINGTENG 2022 漏洞

30、管理指南 典型应用场景二：高危漏洞的补丁识别和关联典型应用场景二：高危漏洞的补丁识别和关联 当一个漏洞被精准定位后，风险发现功能能够关联分析这个漏洞相关的补丁。例如，风险发现通过 CVE 编号确认所有资产中有 13 台机器上存在 Shellshock 漏洞。青藤万相不仅提供详细补丁情况，还能够检测补丁修复后是否会影响其它业务。青藤通过识别应用，加载 SO 和进程本身确认是否被其它业务组件调用，来判断补丁修复是否会影响其它业务。因此，在高危漏洞爆发后，青藤万相能快速帮助客户进行补丁识别和关联，并确认打补丁后是否存在风险等。400-189-9287 15/QINGTENG 2022 漏洞管理指南

31、总结总结 由于漏洞自身性质决定了漏洞库更新永远不会有完结的一天，抓取的漏洞特征信息当然也不可能永远保持正确，因此，只能说漏洞样本在一定程度上帮助组织机构更好地防御风险。当然，若组织机构只依赖一个漏洞库来源，不管它有多权威，都可能会错过影响其系统的重要漏洞信息。此外，CVSS 评分系统虽然能够提供一个相对参考评估，帮助了解和对比漏洞，以及漏洞严重程度，但这可能与现实情况有偏差，不同行业、不同企业 IT 设施都各不相同，因此面对同一个漏洞，影响面和危害面也会不一样。对此，企业应该按照漏洞管理最佳实践，逐步优化漏洞管理，提高漏洞管理效率。400-189-9287 16/QINGTENG 2022 漏

32、洞管理指南 附录：附录：2021 年最常被利用的年最常被利用的 TOP15 漏洞漏洞 在全球范围内来看，2021 年，攻击者利用新披露的漏洞对面向互联网的系统发起攻击，如电子邮件服务器和 VPN 服务器。对于大多数被利用的漏洞，研究人员或其他人员在漏洞披露后的两周内发布了 POC 代码，这也为更多的攻击者利用漏洞提供了便利。在较小的程度上来说，攻击者依然会利用公开的、过时的软件漏洞，其中包括一些 2020 年常被利用的漏洞。对原有漏洞的利用表明，若组织机构未能及时修补软件或使用不再受供应商支持的软件，他们仍会面临风险。2021 年最常被利用的年最常被利用的 Top15 漏洞漏洞 表 1 展示了

33、 2021 年攻击者最常利用的 Top15 漏洞，其中包括：CVE-2021-44228。该漏洞也称为 Log4Shell，会影响 Apache log4j 开源日志记录框架。攻击者可以通过向易受攻击的系统提交特制请求来利用此漏洞，从而导致该系统执行任意代码。这种特制请求可以让攻击者完全控制系统。然后，攻击者可以窃取信息、启动勒索软件或进行其他恶意活动。在全球范围内，有数千种产品采用了 Log4j。该漏洞于 2021 年12 月披露，随后迅速被广泛利用，这表明攻击者有能力快速将已知漏洞武器化，在组织机构打补丁之前发起攻击。CVE-2021-26855、CVE-2021-26858、CVE-20

34、21-26857、CVE-2021-27065。这些漏洞（称为ProxyLogon）会影响 Microsoft Exchange 电子邮件服务器。组合利用这些漏洞（即“漏洞利用链”）可以让未经身份验证的网络攻击者在易受攻击的 Exchange 服务器上执行任意代码，这反过来又使攻击者能够持久访问服务器上的文件和邮箱，以及存储在服务器上的凭据。通过漏洞利用，网络攻击者能够泄露在易受攻击的网络中的信任和身份信息。CVE-2021-34523、CVE-2021-34473、CVE-2021-31207。这些漏洞（称为 ProxyShell）也会影响 Microsoft Exchange 电子邮件服务

35、器。组合利用这些漏洞可以让远程攻击者能够执行任意代码。这些漏洞位于 Microsoft 客户端访问服务(CAS)中，该服务通常在 Micosoft lnternet信息服务(IIS)（例如 Microsot 的 Web 服务器）的端口 443 上运行。CAS 通常暴露在互联网上，以便用户能够通过移动设备和 Web 浏览器访问他们的电子邮件。CVE-2021-26084。该漏洞会影响 Atlassian Confluence Server 和 Data Center，让未经身份验证的攻击者能够在易受攻击的系统上执行任意代码。在其 POC 披露后的一周内，该漏洞迅速成为最常被利用的漏洞之一。202

36、1 年 9 月观察到有攻击者尝试大规模利用该漏洞的 400-189-9287 17/QINGTENG 2022 漏洞管理指南 情况。在 2021 年最常被利用的 Top 15 漏洞中，有三个漏洞是 2020 年常被利用的漏洞：CVE-2020-1472、CV-2018-13379 和 CVE-2019-11510。这些漏洞连续两年位于最常被利用漏洞之列表明，许多组织机构未能及时修补软件，因而非常容易受到恶意网络攻击者的攻击。CVE 漏洞名称漏洞名称 厂商及产品厂商及产品 类型类型 CVE-2021-44228 Log4Shell Apache Log4j 远程代码执行(RCE)CVE-2021

37、-40539 Zoho ManageEngine AD SelfService Plus RCE CVE-2021-34523 ProxyShell Microsoft Exchange Server 权限提升 CVE-2021-34473 ProxyShell Microsoft Exchange Server RCE CVE-2021-31207 ProxyShell Microsoft Exchange Server 防御绕过 CVE-2021-27065 ProxyLogon Microsoft Exchange Server RCE CVE-2021-26858 ProxyLogon

38、 Microsoft Exchange Server RCE CVE-2021-26857 ProxyLogon Microsoft Exchange Server RCE CVE-2021-26855 ProxyLogon Microsoft Exchange Server RCE CVE-2021-26084 Atlassian Confluence Server and Data Center 任意代码执行 CVE-2021-21972 VMware vSphere Client RCE CVE-2020-1472 ZeroLogon Microsoft Netlogon Remote

39、Protocol(MS-NRPC)权限提升 CVE-2020-0688 Microsoft Exchange Server RCE CVE-2019-11510 Pulse Secure Pulse Connect Secure 读取任意文件 CVE-2018-13379 Fortinet FortiOS and FortiProxy 路径遍历 表表 1：2021 年常被利用的年常被利用的 Top15 漏洞漏洞 除了表 1 所列的 15 个漏洞外，2021 年，表 2 所列的漏洞也经常被恶意攻击者利用，其中包括影响面向互联网的系统的多个漏洞，例如 Accellion 文件传输设备（FTA）、W

40、indows Print Spooler 和 Pulse Secure Pulse Connect Secure。在这些漏洞中，有 3 个漏洞在 2020 年也经常被攻击者利用：CVE-2019-1978、CVE-2019-18935 和 CVE-2017-11882。CVE 厂商及产品厂商及产品 类型类型 CVE-2021-42237 Sitecore XP RCE CVE-2021-35464 ForgeRock OpenAM server RCE CVE-2021-27104 Accellion FTA OS 命令执行 CVE-2021-27103 Accellion FTA 服务器端请

41、求伪造 CVE-2021-27102 Accellion FTA OS 命令执行 400-189-9287 18/QINGTENG 2022 漏洞管理指南 CVE-2021-27101 Accellion FTA SQL 注入 CVE-2021-21985 VMware vCenter Server RCE CVE-2021-20038 SonicWall Secure Mobile Access(SMA)RCE CVE-2021-40444 Microsoft MSHTML RCE CVE-2021-34527 Microsoft Windows Print Spooler RCE CVE-

42、2021-3156 Sudo 权限提升 CVE-2021-27852 Checkbox Survey 远程代码执行 CVE-2021-22893 Pulse Secure Pulse Connect Secure 远程代码执行 CVE-2021-20016 SonicWall SSLVPN SMA100 SQL 命令转义不当，导致凭据访问 CVE-2021-1675 Windows Print Spooler RCE CVE-2020-2509 QNAP QTS and QuTS hero 远程代码执行 CVE-2019-19781 Citrix Application Delivery Co

43、ntroller(ADC)and Gateway 任意代码执行 CVE-2019-18935 Progress Telerik UI for ASP.NET AJAX 命令执行 CVE-2018-0171 Cisco IOS Software and IOS XE Software 远程代码执行 CVE-2017-11882 Microsoft Office RCE CVE-2017-0199 Microsoft Office RCE 表表 2：2021 年其他常被利用年其他常被利用的漏洞的漏洞 漏洞漏洞缓解措施缓解措施 针对这些漏洞，常见的缓解措施如下所示。漏洞与配置管理漏洞与配置管理 及时

44、更新 IT 网络资产上的软件、操作系统、应用程序和固件。优先修补已知被利用的漏洞，特别是权威机构确定的 CVE，然后是一些允许在面向互联网的设备上进行远程代码执行或拒绝服务的关键和高危漏洞。如果不能快速给已知被利用的漏洞或关键漏洞打补丁，可以采用供应商提供的临时缓解措施。使用一个集中的补丁管理系统。替换过期的软件，即供应商不再提供支持的软件。例如，Accellion FTA 已于 2021 年 4月停止维护。如果组织机构无法对面向互联网的系统进行快速扫描和打补丁，则应考虑将这些服务转移给成熟的、有信誉的云服务提供商（CSP）或其他托管服务提供商（MSP）。声誉良好的 MSP 可以为客户的应用程序打补丁，如网络邮件、文件存储、文件共享以及聊天