2023年�,隨著勒索軟件和APT組織紛紛調(diào)整攻擊策略��,零日漏洞攻擊快速升溫并有望在2024年延續(xù)這一趨勢�����。
根據(jù)谷歌威脅分析小組今年7月發(fā)布的報告���,2021年野外利用零日漏洞數(shù)量(69個)創(chuàng)下歷史新高后,2022年有所下滑�����,但2023年隨著重大零日漏洞利用事件的大幅增長�����,零日漏洞攻擊重新升溫��,從商業(yè)間諜到勒索軟件攻擊���,零日漏洞被廣泛使用��。
零日漏洞利用對攻擊者的財力或技能有著很高要求���,但是“零日漏洞+供應鏈攻擊”產(chǎn)生的倍增效應使得零日漏洞攻擊的“投入產(chǎn)出比”極速飆升����。賽門鐵克首席情報分析師Dick O’Brien指出����,2024年攻擊者將更頻繁地利用零日漏洞,因為類似MOVEit文件傳輸漏洞可產(chǎn)生巨大的“爆炸半徑”���,同時影響全球數(shù)以千計的企業(yè)���。
以下是2023年10起最大的零日攻擊(按時間順序排列)。
1.GoAnywhere(MFT零日漏洞)
2023年最具殺傷力的零日攻擊是利用多個流行托管文件傳輸產(chǎn)品(MFT)的供應鏈攻擊�。Fortra的GoAnywhere是首個造成重大影響的MFT零日漏洞攻擊。
網(wǎng)絡安全記者Brian Krebs于2023年2月2日首次報道了GoAnywhere中的預身份驗證命令注入零日漏洞(CVE-2023-0669);此前一天����,F(xiàn)ortra向客戶發(fā)布了CVE-2023-0669安全建議。
該漏洞于2月7日得到修補����,但直到3月14日數(shù)據(jù)安全供應商Rubrik披露GoAnywhere漏洞導致的數(shù)據(jù)泄漏事件����,GoAnywhere漏洞利用細節(jié)才成為業(yè)界關注的焦點���。同一天��,勒索軟件組織Clop在其數(shù)據(jù)泄露網(wǎng)站上列出了Rubrik����。
Rubrik是首個公開報道的因GoAnywhere零日漏洞發(fā)生數(shù)據(jù)泄露的企業(yè)(零號病人)�,隨后包括寶潔公司��、日立能源公司等大量知名企業(yè)紛紛中招����。
Clop聲稱對100多起數(shù)據(jù)勒索攻擊負責,但尚不清楚有多少受害者支付了贖金����。FortraGoAnywhere是第一個MFT零日漏洞,它的“大獲成功”使得“零日漏洞+供應鏈攻擊+數(shù)據(jù)勒索”成為2023年對攻擊者最具吸引力�����,造成損失最大的攻擊組合之一。
2.梭子魚郵件安全網(wǎng)關(遠程命令注入漏洞)
5月23日��,梭子魚(Barracuda Networks)披露在其電子郵件安全網(wǎng)關(ESG)設備中發(fā)現(xiàn)了一個遠程命令注入零日漏洞(CVE-2023-2868)���。梭子魚表示�,它于5月18日聘請了谷歌旗下威脅情報公司Mandiant來調(diào)查其ESG設備的可疑活動���,從而發(fā)現(xiàn)了該零日漏洞�����,并于第二天向所有設備發(fā)布了補丁���。但調(diào)查顯示,漏洞CVE-2023-2868早在2022年10月就已被利用����。梭子魚表示,攻擊者使用三種類型的惡意軟件來獲得對“ESG設備子集”的持久后門訪問���,它們被用來從客戶網(wǎng)絡中竊取數(shù)據(jù)���。
當梭子魚于6月6日宣布“受影響的ESG設備”需要立即更換時��,事態(tài)變得非常糟糕�����。梭子魚后來澄清說����,只有受到威脅行為者“損害”的設備才需要更換����,并且將免費向客戶提供新產(chǎn)品。
3.MoveIt Transfer(MFT零日漏洞)
5月31日另一個MFT零日漏洞浮出水面�,Progress Software當日披露并修補了其MoveIt Transfer軟件中的一個SQL注入漏洞��,編號為CVE-2023-34362���。第二天���,Rapid7報告了該零日漏洞被利用的情況,但幾天后情況迅速惡化�。
6月4日��,微軟威脅情報中心將MoveIt Transfer漏洞的利用歸因于其追蹤的威脅實體Lace Tempest�����,該實體又與Clop勒索軟件組織有關��。Clop也是GoAnywhere零日漏洞的積極利用者��。
CVE-2023-34362首次披露幾個月后��,受害者名單繼續(xù)增長�����。與針對Fortra GoAnywhere客戶的攻擊一樣��,MoveIt零日漏洞的攻擊者僅專注于數(shù)據(jù)盜竊�����,并未在受害者的環(huán)境中部署勒索軟件��。目前尚不清楚有多少受害者向Clop支付了贖金�,但此次攻擊的范圍和規(guī)模是驚人的�。Emsisoft在9月份估計�����,Clop利用MoveIt零日漏洞實施的數(shù)據(jù)盜竊和勒索活動影響了2095個組織和超過6200萬人����。
4.VMwareTools(身份驗證繞過漏洞)
6月13日�����,VMware披露了一個影響ESXi虛擬機管理程序?qū)嵗牡臀B┒?mdash;—身份驗證繞過漏洞(CVE-2023-20867)���,攻擊者可在受感染ESXi主機上繞過VMware Tools的主機到來賓(host-to-guest)操作中的身份驗證檢查�����,并最終入侵虛擬機���。
CVE-2023-20867的CVSSv3分數(shù)僅為3.9���,因為利用該漏洞需要攻擊者獲得ESXi虛擬機管理程序的root訪問權限�。然而����,發(fā)現(xiàn)該零日漏洞的Mandiant報告稱��,威脅組織可利用該零日漏洞從ESXi主機上的來賓虛擬機執(zhí)行特權命令����,同時還部署持久后門�。
這些攻擊表明,即使CVSS評分嚴重程度較低的漏洞也可能被用來造成重大損害���。
5.微軟Windows和Office(遠程代碼執(zhí)行漏洞)
2023年�����,微軟產(chǎn)品中曝出大量零日漏洞����,其中最嚴重的一個是CVE-2023-36884����,它是WindowsSearch中的遠程代碼執(zhí)行漏洞(RCE)。該漏洞在微軟7月補丁星期二版本中首次披露���,影響Windows和Office軟件�。
CVE-2023-36884與其他Microsoft零日漏洞有兩個不同之處。首先�,盡管微軟確實提供了緩解措施來防止利用該漏洞,但在披露時該RCE漏洞還沒有補丁����。該漏洞最終在八月補丁星期二版本中才得到修復。
其次�����,微軟透露�����,其追蹤的一個名為Storm-0978的俄羅斯網(wǎng)絡犯罪組織在以間諜活動為主的網(wǎng)絡釣魚活動以及經(jīng)濟動機的勒索軟件攻擊中利用了CVE-2023-36884���。根據(jù)微軟的報告�,Storm-0978的攻擊活動針對北美和歐洲的國防組織和政府實體�����。網(wǎng)絡釣魚電子郵件包含與北約和烏克蘭世界大會相關的誘餌�����,攻擊者利用CVE-2023-36884繞過Microsoft的Web標記(MotW)安全功能����,該功能通常會阻止惡意鏈接和附件。
在調(diào)查該漏洞利用鏈時�,Palo Alto Networks Unit42的安全研究人員發(fā)現(xiàn)了另一個漏洞,編號為CVE-2023-36584��。該漏洞于10月份披露����,還可以讓攻擊者繞過MotW保護。
6.WebP/Libwebp(堆棧緩沖區(qū)溢出漏洞)
9月11日�����,谷歌針對圖像格式WebP中的一個嚴重堆緩沖區(qū)溢出漏洞發(fā)布了緊急補丁����。該零日漏洞的編號為CVE-2023-4863,允許遠程攻擊者通過惡意WebP圖像執(zhí)行越界內(nèi)存寫入���。
該漏洞不僅僅影響谷歌的Chrome瀏覽器�����。由于WebP格式得到其他瀏覽器制造商的支持���,微軟��、蘋果和Mozilla等公司也發(fā)布了瀏覽器更新�。雖然谷歌最初將CVE-2023-4863描述為WebP中的漏洞��,但安全研究人員指出���,問題出在開源Libwebp庫中�,很多非瀏覽器開發(fā)人員也使用該庫����。
讓事情變得更加復雜的是,Cloudflare等一些網(wǎng)絡安全公司指出CVE-2023-4863與Apple ImageI/O框架中的另一個零日堆緩沖區(qū)溢出漏洞之間存在相似之處��,該漏洞在幾天前于9月7日被披露并修補�����。Apple漏洞被追蹤為CVE-2023-41064����,由公民實驗室的研究人員發(fā)現(xiàn)�����,他們發(fā)現(xiàn)該漏洞已被商業(yè)間諜軟件供應商NSO Group的零點擊攻擊武器化。
Citizen Lab與Apple的安全工程和架構團隊也發(fā)現(xiàn)了CVE-2023-4863�����。然而��,這兩個組織都沒有將CVE-2023-4863的零日漏洞攻擊歸咎于NSO集團����,也沒有提供漏洞利用的進一步細節(jié)。
7.蘋果iOS和iPadOS(操作系統(tǒng)內(nèi)核提權漏洞)
與微軟一樣���,蘋果在2023年也出現(xiàn)了零日漏洞�����。然而��,9月21日披露的iOS和iPadOS中的三個零日漏洞尤為突出��,分別是:
CVE-2023-41992�,這是操作系統(tǒng)內(nèi)核中的一個特權提升漏洞;
CVE-2023-41991,一個可讓攻擊者繞過簽名驗證的安全漏洞;
CVE-2023-41993��,Apple WebKit瀏覽器引擎中的一個漏洞���,可導致任意代碼執(zhí)行���。
公民實驗室的研究員Bill Marczak和Google威脅分析小組(TAG)的安全研究員Maddie Stone發(fā)現(xiàn)了這三個零日漏洞。在9月22日的一篇博客文章中��,公民實驗室的研究人員透露��,這些漏洞被用在一個漏洞利用鏈中來傳播商業(yè)監(jiān)控供應商Cytrox的間諜軟件產(chǎn)品Predator����。據(jù)公民實驗室稱,前埃及議會議員艾哈邁德·埃爾坦塔維(Ahmed Eltantawy)在2023年5月至9月期間成為Predator間諜軟件的攻擊目標��。
在Eltantawy宣布打算在2024年埃及大選中競選總統(tǒng)后����,他聯(lián)系了公民實驗室,表達了對手機安全的擔憂�����。公民實驗室的研究人員與谷歌的TAG一起調(diào)查了他手機上的活動,發(fā)現(xiàn)手機已感染了Predator間諜軟件����。公民實驗室將這次襲擊歸咎于埃及政府,并表示此案表明“雇傭間諜軟件”有多么危險����。
8.Atlassian Confluence(滿分漏洞)
10月4日��,Atlassian披露并修補了其Confluence數(shù)據(jù)中心和服務器產(chǎn)品中的一個零日漏洞��,編號為CVE-2023-22515�,最初被描述為影響Confluence工作區(qū)套件的自我管理版本的特權提升漏洞。
該零日漏洞的CVSS評分高達10分�����,與Confluence數(shù)據(jù)中心和服務器軟件中的訪問控制損壞有關���。更多信息在接下來的一周被披露����,微軟通過X(推特)表示,自9月14日以來���,一個國家黑客組織一直在利用該漏洞��。
目前尚不清楚有多少Atlassian客戶受到Storm-0062的攻擊�,也不清楚攻擊者針對的是哪些類型的組織�����。Atlassian敦促所有客戶立即更新其Confluence實例�,或從公共互聯(lián)網(wǎng)上隔離易受攻擊的版本,直到他們能夠正確應用補丁�。
9.Citrix Bleed(MFA繞過)
當一個漏洞擁有自己的“昵稱”時,通常表明該漏洞造成了嚴重影響����。10月10日,Citrix解決了影響NetScaler ADC(以前稱為Citrix ADC)和NetScaler Gateway(以前稱為Citrix Gateway)多個版本的兩個漏洞��。其中一個是可泄漏敏感信息的高危漏洞�����,編號為CVE-2023-4966。這個高危零日漏洞被信息安全專業(yè)人士稱為Citrix Bleed��,CVSS評分高達9.4����。
一周后,根據(jù)Mandiant的報告�,自2023年8月份以來,它觀察到大量Citrix Bleed的野外利用活動���,主要針對政府和技術組織��。研究人員觀察到威脅行為者劫持了易受攻擊的設備的經(jīng)過身份驗證的會話,這使他們能夠繞過MFA和其他強大的身份驗證檢查����。更令人擔憂的是,Mandiant警告稱�,即使CVE-2023-4966已修補,這些被劫持的會話仍可能被威脅行為者使用����。該公司建議客戶除了修補Citrix Bleed之外還應采取其他緩解措施。
11月份�,金融服務信息共享和分析中心警告說,臭名昭著的LockBit勒索軟件團伙正在利用Citrix Bleed����。CISA和FBI在一份聯(lián)合咨詢中針對LockBit攻擊發(fā)出了類似的警告��,并表示這些機構預計該漏洞將被“廣泛利用”�。
10.思科IOS XE(“滿分漏洞”)
2023年10月16日��,思科披露了其IOS XE軟件中的一個高危零日漏洞�����,CVSS評分高達10分�。思科警告說,該零日漏洞影響啟用了Web用戶界面功能的所有版本的IOS XE��。遠程攻擊者可以利用該漏洞獲得設備的最高級別特權訪問���。該漏洞披露時還沒有可用的補丁���,思科建議客戶禁用所有易受攻擊系統(tǒng)的HTTP服務器功能。
在博客文章中�,思科Talos研究人員表示,漏洞利用活動于2023年9月18日開始�,并且這一系列攻擊是由同一名身份不明的威脅發(fā)起者發(fā)起的。威脅行為者利用該漏洞在受感染的設備上部署名為BadCandy的Cisco Talos植入程序。
就在思科首次披露漏洞后一天�����,安全供應商警告稱����,CVE-2023-20198正面臨大規(guī)模利用。例如���,VulnCheck對易受攻擊的IOS XE實例的互聯(lián)網(wǎng)掃描發(fā)現(xiàn)了數(shù)千個被植入的主機�。10月22日��,思科發(fā)布了CVE-2023-20198補丁����,并披露了思科Talos研究人員在調(diào)查過程中發(fā)現(xiàn)的第二個相關漏洞(CVE-2023-20273)�����。隨著該漏洞的大規(guī)模利用�����,思科敦促所有客戶應用補丁并實施建議的緩解措施。
2023年����,隨著勒索軟件和APT組織紛紛調(diào)整攻擊策略,零日漏洞攻擊快速升溫并有望在2024年延續(xù)這一趨勢����。
根據(jù)谷歌威脅分析小組今年7月發(fā)布的報告,2021年野外利用零日漏洞數(shù)量(69個)創(chuàng)下歷史新高后�����,2022年有所下滑����,但2023年隨著重大零日漏洞利用事件的大幅增長,零日漏洞攻擊重新升溫���,從商業(yè)間諜到勒索軟件攻擊��,零日漏洞被廣泛使用��。
來源:GoUpSec
在線咨詢
在線咨詢
0371-63319761