网络安全中的老旧漏洞问题

关键要点

2022年最常被利用的漏洞主要集中在老旧的安全缺陷和影响重大产品的高风险缺陷。这些漏洞即使经过多年披露和修补，仍然在网络攻击中占据主导地位。大部分受影响的产品来自微软、Fortinet、F5 Networks、VMware 和 Oracle 等大型供应商。供应商和开发者需要进行深层根本原因分析，而不仅仅是迅速修补。提高产品的“默认安全”设计原则，将大大降低安全漏洞的风险。

根据五眼国家的最新联合网络安全建议，2022年最常被利用的漏洞主要是一些老旧的缺陷和涉及主要产品的高风险缺陷。这份 建议书 由美国、英国、澳大利亚、加拿大和新西兰的多个机构共同签署，提醒人们关注网络安全中的长期存在的问题。尤其是许多网络勒索者、国家行为者和网络犯罪集团所利用的漏洞，往往已经在几年前被发现、披露并修补。

就像以往几年一样，这份列表展示了在未修补的系统上利用多年前的漏洞依旧占据威胁的主导地位。实际上，组织更容易受到2021年或2020年发现的漏洞攻击，而不是过去一年内揭露的新的漏洞。

漏洞统计数据

政府列出的12个漏洞中，有一半允许远程代码执行。这一结果虽然不意外，但还是提醒我们，安全研究人员通常会对这类漏洞发出警报，即便其利用可能性较低或存在争议。

在这12个漏洞中，最老的一个是影响FortiOS和Fortiguard的SSL虚拟私人网络漏洞CVE201813379，该漏洞可以暴露凭证，早在2018年就被公布。该漏洞在2020年和2021年的建议中也有提到，其持续被利用“表明许多组织未能及时修补软件，仍然处于脆弱状态”，各个机构指出。

建议书指出：“恶意网络行为者通常在漏洞公开的前两年内最易成功地利用已知漏洞。随着软件进行修补或升级，这些漏洞的价值逐渐降低。”

蓝灯加速器稳定性

在这份名单中，一些近年来在新闻中广泛报道的高危漏洞也在列。例如，受到广泛关注的与Proxy Shell相关的三个漏洞CVE202134473、CVE202134523 和 CVE202131207，以及2021年允许任意代码执行的Atlassian Confluence漏洞CVE202126084。

此外，Log4Shell 漏洞CVE202144228也被列入名单。这是一种嵌入在数千个软件产品中的Apache开源漏洞，并且在2022年进行了全球范围的协调性减轻努力。尽管政府和行业官员对此表示肯定，认为这些努力显著减少了受到影响的应用程序数量，但由于这一代码的普遍性，以及找出并修补漏洞的困难性，攻击者仍在不断利用这些漏洞。

难题的另一面

不过，某些新漏洞特别是影响范围广泛的漏洞确实会引起攻击者的初步关注，因为他们会迅速利用这些漏洞。当然，这与补丁发布和广泛认识后的随之而来反应形成鲜明对比。正因如此，名单上的前12个漏洞，以及额外列出30个漏洞，几乎都涉及如微软、Fortinet、F5 Networks、VMware 和 Oracle等大型产品提供商的缺