对于所有的0day,定制的恶意软件和其他完全未知的安全漏洞,它们已经存在多年并被广泛利用。为了更好地表明这一点,美国联邦调查局(FBI)、美国网络安全与基础设施安全局(CISA)、澳大利亚网络安全中心(ACSC)和英国国家网络安全中心(NCSC)发布了联合网络安全咨询。在这份报告中,他们列出了2020年和2021年使用的30大漏洞。
尽管软件供应商和开发人员尽了最大努力,但其中许多漏洞已经存在多年。如Microsoft 的Print Spooler中的“PrintNightmare”漏洞表明,仅仅因为某些事情已知并不意味着它很容易被解决。
在查看此列表时请记住,本文中的每个漏洞在某些时候都被认为是“关键的”,而且它们都被广泛使用。因此,所有这些的主要结论是,如果你正在使用这里列出的产品,请确保立即打补丁。
这里提到的FTA 服务器 主要用于传输非常大的文件。该程序自2018年以来一直处于更新状态,已经更新了20多年。自 2021年4月30日起,该程序被视为生命周期结束,由他们的Kiteworks软件接管。上述四个漏洞都在同一个包中公布,每个都是不同的漏洞类型。
Qualys 是受此漏洞影响的知名组织之一,其DMZ中的FTA服务器遭到破坏。
Confluence服务器是一个wiki风格的协作环境。通过在易受攻击的软件版本中利用“小部件连接器宏”,恶意用户将能够浏览服务器上的目录、部署模板并实现远程代码执行。
这一特殊漏洞已被用于部署加密货币挖掘软件和勒索软件。
Crowd和Crowd>Citrix
在2019冠状病毒病(COVID-19)大流行期间,人们迅速转向远程工作,在许多情况下,这是意外的。这意味着许多组织在未完全配置的状态下部署了可能未经测试的远程访问系统。因此,这一漏洞是2020年被利用最多的漏洞。
卡内基梅隆大学(Carnegie Mellon University)的研究人员能够证明,该软件不限制访问名为“Virtual Private Network”的目录中的特定脚本部分,该目录可以通过目录遍历访问。一旦它们在这个目录中,它们就可以执行其设计的远程代码执行。
Drupal被许多人用作网站和wiki的内容管理系统 (CMS)。该漏洞涉及 Drupal 请求参数的方式。根据Tenable的说法,恶意用户可以使用它来将有效负载部署到系统而无需输入灭菌,因为它接受数组中的参数。
有可能同时利用应用程序和主机操作系统。尽管问题很严重,但仍有许多未打补丁的系统,尽管自 2018 年年中以来已有补丁可用。
可以同时利用应用程序和主机操作系统。尽管这个问题很严重,而且自2018年年中以来已经有了补丁,但仍然有许多系统没有补丁。
BIG-IP提供负载均衡、防火墙功能和DNS服务。通过该漏洞,恶意用户将能够访问应用程序的配置功能,以及他们选择的运行代码。
然而,像许多其他配置工具一样,只允许从特定的ip访问上层控制提供了一个快速的解决方案。与此同时,启用了永久修复——这一点对于多个供应商来说非常重要。
与上面报道的Citrix的原因类似,Fortinet的SSL Virtual Private Network产品在2020年的使用出现爆炸式增长,使其成为攻击者非常诱人的目标。所有这三个问题都围绕着远程访问提供。
2018年漏洞允许恶意用户从 Fortios 门户网站移动到包含系统文件的目录,但不一定要上传自己的。虽然这听起来不一定像其他一些漏洞那么糟糕,但据认为这一发现的研究人员称,它允许“预授权任意文件读取”,或者更具体地说,他们可能会读取密码数据库和其他敏感数据。
2019年漏洞可能允许同一本地子网的用户模拟LDAP身份验证服务器,并可能获取敏感数据。互联网安全与研究集团(Internet Security and Research Group)詹姆斯·伦肯(James Renken)是该漏洞的发现者之一,他重申,如果在多个地点使用被盗的凭证,访问可能会迅速传播。
2020年漏洞,如果用户更改用户名的大小写,可能允许用户绕过双因素认证要求。例如,如果恶意用户利用2018漏洞获取证书,他们就可以利用该漏洞获得完全访问权,而不需要2FA令牌。
Microsoft 的 Windows 操作系统、Office 生产力软件、Sharepoint 内容管理系统和 Exchange 电子邮件服务器产品为许多企业提供支持。 2017 Office漏洞允许恶意用户将文件分发给合法用户,然后在Office 套件程序或独立的写字板应用程序中打开该文件。一旦用户打开文件,恶意用户希望的任何代码都将以登录用户的权限运行。这在概念上与 2019 Sharepoint 漏洞非常相似,其中代码可以作为 Sharepoint 应用程序池和服务器场帐户的凭据运行。
后台智能传输服务 (BITS)为Windows提供了大量的更新功能。利用这个漏洞,已经可以访问系统的恶意用户可以提升他们的权限来控制整个本地计算机。
Netlogon允许对属于Microsoft的Active Directory域结构的用户和计算机进行身份验证。利用该漏洞可能允许某人冒充域控制器并可能获得域管理员权限。
2020 Exchange 漏洞是由 Exchange 2019 中的 Exchange 控制面板 Web 应用程序问题引起的。该问题与加密密钥有关,特别是它在安装时不会生成新密钥。如果恶意用户有权访问默认密钥,他们可能会导致 Exchange 解密其数据。这可以创建一个远程代码执行系统-服务器上的最高权限级别。
另一方面,2021年的Exchange漏洞是攻击链的一部分。根据微软公司客户安全和信任副总裁Tom Burt的博客文章,该攻击包含三个步骤:“首先,它会通过窃取的密码或利用之前未发现的漏洞将自己伪装成有权访问的人。其次,它会创建所谓的web shell 来远程控制受感染的服务器。最后,它会使用远程访问。”
MobileIron
MobileIron 提供了许多处理移动设备管理的服务。Devcore 的 Orange Tsai 再次在 MobileIron Core产品中发现了一个漏洞,该漏洞可能允许恶意用户在未经身份验证的情况下执行其代码。
Pulse Secure
Pulse Secure的Connect Secure是SSL Virtual Private Network的一种形式,我们已经在这个列表中多次看到。2019年漏洞可能允许未经身份验证的用户读取通过Virtual Private Network传输的文件,获得对纯文本凭证的访问,并在客户端连接到Virtual Private Network服务器时执行命令。
2021漏洞可能允许未经身份验证的用户通过根级访问在Virtual Private Network网关本身上运行他们的代码。
Telerik的ASP.NET AJAX UI允许快速创建和部署Web表单。此漏洞在概念上类似于Exchange解密漏洞。如果恶意用户可以通过其他漏洞或其他方式访问加密密钥,他们就可以在服务器上运行自己的代码。
VMWare允许在主机操作系统之上运行虚拟机,vSphere 是它们的主要管理界面。第一个漏洞是由于默认启用的插件上没有输入验证。因此,用户可以在主机操作系统上运行他们的代码。第二个漏洞也涉及插件,但不同的是,在不需要验证的情况下,它允许用户执行受影响的插件通常可以执行的任何操作。
windows98与windows2000有何区别
Win98和Win2000都支持FAT和FAT32文件系统但Win2000支持NTFS文件系统想要了解NTFS,我们首先应该认识一下FAT。 FAT(File Allocation Table)是“文件分配表”的意思。 对我们来说,它的意义在于对硬盘分区的管理。 FAT16、FAT32、NTFS是目前最常见的三种文件系统。 FAT16:我们以前用的DOS、Windows 95都使用FAT16文件系统,现在常用的Windows 98/2000/XP等系统均支持FAT16文件系统。 它最大可以管理大到2GB的分区,但每个分区最多只能有个簇(簇是磁盘空间的配置单位)。 随着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。 FAT32:随着大容量硬盘的出现,从Windows 98开始,FAT32开始流行。 它是FAT16的增强版本,可以支持大到2TB(2048G的分区。 FAT32使用的簇比FAT16小,从而有效地节约了硬盘空间。 NTFS:微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。 随着以NT为内核的Windows 2000/XP的普及,很多个人用户开始用到了NTFS。 NTFS也是以簇为单位来存储数据文件,但NTFS中簇的大小并不依赖于磁盘或分区的大小。 簇尺寸的缩小不但降低了磁盘空间的浪费,还减少了产生磁盘碎片的可能。 NTFS支持文件加密管理功能,可为用户提供更高层次的安全保证。
XP,WIN7系统32位和64位有什么区别?
区别就是操作系统处理数据时候的寻址数不一样、一个是32位寻址、一个64位寻址、就是处理的数据长度不一样、但是64位的操作系统也是需要64位的CPU等的硬件支持、相对来说64位寻址要比32位的快、但是现在可以供使用的64位软件并不多、常用的软件几乎都不支持64位的系统、所以64位的操作系统并不普及、没有必要的情况下一般不会装64位的系统、
永恒之塔是不需要点卡,免费的游戏吗?
现在还没有进入永恒之塔游戏的玩家都比较迫切希望知道永恒之塔这款游戏到底是怎么收费的。 是点卡还是包月呀!在玩游戏时购买点卡时是不是有几种购买方式供大家选择,现在永恒之塔代理商盛大终于发布了永恒之塔的收费标准,现在大家就与我一起去看看永恒之塔的收费标准吧。 1.标准使用券(单月卡):30天 300小时(限制在一个月内用完) 64元 2.二个月使用券(双月卡):60天 600小时(限制在二个月内用完)115元 3.三个月使用券(三月卡):90天 900小时(限制在三个月内用完)165元 4.盛大vip使用券(vip三月卡):三个月(不限制时间,三个月到期)225元 5.3小时使用券(建号卡):3小时(限制在1个星期内用完) 14元 (一般用来建号) 6.30小时使用券(新手体验卡):30小时(限制在1个星期内用完) 27元
发表评论