تكشف الإحصائيات الصادرة عن الوكالات الإلكترونية الجماعية Five Eyes نظرة ثاقبة على نقاط الضعف الأكثر استغلالًا في عام 2022 ، وليس من المستغرب أن يكون هناك بعض “الأصدقاء” القدامى في القائمة
أصدر المركز الوطني للأمن السيبراني (NCSC) ، جنبًا إلى جنب مع الوكالات الشريكة له في Five Eyes في أستراليا وكندا ونيوزيلندا والولايات المتحدة ، تفاصيل أكثر 12 نقطة ضعف في عام 2022 ، مع أمثال Log4Shell و ProxyShell لا يزال يركب عاليا.
قال الفريق إن قائمتهم كانت بمثابة تحذير حول أهمية تحديث الأنظمة حيث تستمر الجهات الفاعلة الخبيثة في تفضيل نقاط الضعف التي تم الكشف عنها سابقًا. أكثر من نصف العيوب المدرجة لعام 2022 ظهر أيضًا في قائمة 2021 على الرغم من توفر التصحيحات لهم.
أحد الأخطاء المدرجة في القائمة ، عيب التعرض لبيانات اعتماد SSL VPN في Fortinet FortiOS و FortiProxy ، يعود إلى 2018.
قال جوناثون إليسون ، مدير المركز الوطني للثغرات الأمنية والمرونة والتكنولوجيا المستقبلية: “للأسف ، تعد الثغرات جزءًا لا يتجزأ من عالمنا على الإنترنت ، ونحن نرى الجهات الفاعلة في مجال التهديد تواصل الاستفادة من نقاط الضعف هذه لتعريض الأنظمة للخطر”.
تعمل هذه المشورة المشتركة مع حلفائنا على زيادة الوعي بأوجه الضعف التي يتم استغلالها بشكل روتيني في عام 2022 لمساعدة المؤسسات على تحديد الأماكن التي قد تكون معرضة للخطر واتخاذ الإجراءات اللازمة.
“لتعزيز المرونة ، نشجع المؤسسات على تطبيق جميع التحديثات الأمنية على الفور وندعو بائعي البرامج للتأكد من أن الأمان هو جوهر تصميم منتجاتهم للمساعدة في تحويل عبء المسؤولية بعيدًا عن المستهلكين.”
قال مساعد المدير التنفيذي للأمن السيبراني CISA ، إريك غولدشتاين: “اليوم ، يستغل الخصوم عادة فئات من نقاط الضعف التي يمكن ويجب أن يعالجها مقدمو التكنولوجيا كجزء من التزامهم بالتأمين عن طريق التصميم.
حتى ذلك اليوم ، ستستمر الجهات الخبيثة في العثور على أنه من السهل جدًا استغلال المنظمات في جميع أنحاء العالم. مع شركائنا ، نحث جميع المؤسسات على مراجعة استشاراتنا المشتركة ، لكل مؤسسة لتحديد أولويات التخفيف من هذه الثغرات الأمنية ، ولكل مزود تقني أن يتحمل المسؤولية عن النتائج الأمنية لعملائهم من خلال الحد من انتشار هذه الثغرات الأمنية حسب التصميم “.
بناءً على الأدلة المتاحة ، من الواضح أن الجهات الفاعلة في التهديد ترى نجاحًا أكبر في استغلال نقاط الضعف المعروفة خلال الـ 24 شهرًا الأولى من الكشف العلني ، ومن المحتمل أن تستهدف برامج استغلالها لتعظيم التأثير.
يشجع NCSC جميع المنظمات البريطانية على قراءة القائمة الكاملة – متاح عبر CISA – والتي تحتوي أيضًا على تفاصيل 30 من الثغرات الأمنية الأخرى التي يتم استغلالها بشكل روتيني ونصائح التخفيف الخاصة بها.
يمكن لقراء المملكة المتحدة أيضًا الاشتراك في خدمة الإنذار المبكر في NCSC. تم إطلاق الخدمة في عام 2021 كإضافة لبرنامج Active Cyber Defense ، وهي خدمة مجانية للاستخدام وتوفرها موجز استخبارات تهديدات تمت تصفيته للتنبيهات المصممة للمستخدمين.
12 نقطة ضعف
أكثر نقاط الضعف التي تمت ملاحظتها هي:
- CVE-2018-13379، عيب التعرض لبيانات اعتماد SSL VPN في Fortinet FortiOS و FortiProxy ؛
- CVE-2023-34472 و CVE-2021-31207 و CVE-2021-34523، المعروف بشكل جماعي باسم ProxyShell ، وهو عيب في تنفيذ التعليمات البرمجية عن بُعد (RCE) ، وخطأ تجاوز ميزة الأمان وخطأ تصعيد الامتياز (EoP) في Microsoft Exchange Server ؛
- CVE-2021-40539، ثغرة أمنية تتجاوز مصادقة RCE في Zoho ManageEngine ADSelfService Plus ؛
- CVE-2021-26084، عيب تنفيذ التعليمات البرمجية التعسفي في مركز البيانات وخادم التقاء Atlassian ؛
- CVE-2021-44228، المعروف أيضًا باسم Log4Shell ، عيب RCE في Apace Log4j2 ؛
- CVE-2022-22954، ثغرة RCE في VMware Workspace ONE Access and Identity Manager ؛
- CVE-2022-22960، عيب غير لائق في إدارة الامتيازات في برنامج VMware Workspace One Access و Identity Manager و vRealize Automation ؛
- CVE-2022-1388، ثغرة أمنية مفقودة في المصادقة في F5 Networks BIG-IP ؛
- CVE-2022-30190، ثغرة RCE تؤثر على العديد من منتجات Microsoft Office ؛
- CVE-2022-26134، ثغرة أمنية في RCE في مركز البيانات وخادم التقاء Atlassian.
اقرأ المزيد عن المتسللين والوقاية من الجرائم الإلكترونية
لا توجد أيام صفرية لـ June Patch Tuesday ، ولكن هناك الكثير لمضغه
بواسطة: أليكس سكروكستون
تسبب ثغرة Secure Boot (التمهيد الآمن) في حدوث صداع Patch Tuesday للمسؤولين
بواسطة: أليكس سكروكستون
تحذر Google مستخدمي Samsung Exynos من ثغرات يوم الصفر
بواسطة: أرييل والدمان
مايكروسوفت تعالج يومين صفر في ديسمبر التصحيح الثلاثاء
بواسطة: الكسندر كولافي