根据谷歌公司威胁分析小组去年7月发布的报告显示,2022年全球共有41个0day漏洞被利用和披露。而研究人员普遍认为,2023年被利用的0Day漏洞数量会比2022年更高,这些危险的漏洞被广泛用于商业间谍活动、网络攻击活动以及数据勒索攻击等各种场合。本文收集整理了2023年10个最具破坏性的0Day攻击事件。
1、Fortra GoAnywhere
CVE-2023-0669漏洞(CNNVD编号:CNNVD-202302-398)是2023年第一个导致大范围勒索攻击的MFT零日漏洞,它是Fortra GoAnywhere管理文件传输(MFT)产品中的一个预验证命令注入漏洞。网络安全记者Brian Krebs于2月2日首次报道了这个漏洞。而Fortra公司也在前一天向身份经过验证的客户发布了针对CVE-2023-0669漏洞的安全公告。
尽管该漏洞在2月7日就被修补,但直到3月14日,数据安全供应商Rubrik才完整披露了和GoAnywhere漏洞相关的泄密事件以及该漏洞的利用细节。同一天,Cloq勒索软件团伙在其数据泄露网站上列出了与该零日漏洞有关的受害企业组织,包括Rubrik、宝洁、日立能源和Community Health Systems等100多家企业。
2、梭子鱼电子邮件安全网关
2023年5月23日,梭子鱼网络披露了其电子邮件安全网关(ESG)设备中发现了一个0day漏洞,编号为CVE-2023-2868(CNNVD编号:CNNVD-202305-2128)。该公司表示,它于5月19日发现了该缺陷,并于第二天向所有设备发布了补丁。虽然最初的公告包含有关该漏洞的一些详细信息,但有关该缺陷和相关攻击的更多信息于次周曝光。
通过进一步调查发现,该远程命令注入漏洞早在2022年10月就被利用了,攻击者使用三种类型的恶意软件获得了部分ESG设备的持久后门访问权限,进而从客户网络系统中窃取数据。为了修复漏洞,梭子鱼为其客户免费更换了受破坏的设备。
2023年6月15日,Mandiant报道称,这些攻击是由网络间谍组织UNC4841发起的。威胁行为者修改了其恶意软件,以防止有效修补并保持对受感染设备的持久访问。美国联邦调查局8月警告称,黑客们仍在继续利用这个漏洞。
3、Progress Software MoveIt Transfer
2023年5月31日,Progress Software公司披露并修补了MoveIt Transfer软件中的SQL注入漏漏CVE-2023-34362(CNNVD编号:CNNVD-202306-110)。次日,Rapid7报告了零日漏洞被利用的活动,但几天后情况开始恶化。
2023年6月4日,微软威胁情报中心将MoveIt Transfer漏洞归因Lace Tempest威胁分子,这伙人与Clop勒索软件团伙有关。Mandiant也观察到了该漏洞被大肆利用的活动,攻击者闯入MoveIt Transfer实例,窃取客户数据,受害者包括美国州和联邦政府机构、英国航空公司、Extreme Networks和西门子能源公司。
就像针对Fortra GoAnywhere客户的攻击一样,CVE-2023-34362漏洞攻击者一心窃取数据,没有在受害者的环境中部署勒索软件。目前尚不清楚多少受害者支付了赎金,但攻击范围令人震惊。Emsisoft在2023年9月估计,Clop的数据窃取和勒索活动影响了全球2095家组织和超过6200万人。
4、VMware Tools
2023年6月13日,VMware披露了一个影响ESXi虚拟机管理程序实例的低危漏洞。
这个身份验证绕过漏洞编号为CVE-2023-20867(CNNVD编号:CNNVD-202306-968),能够让受感染的ESXi主机上的攻击者可以突破VMware Tools主机到访客操作中的身份验证检查机制,最终危及虚拟机。由于攻击者需要对ESXi虚拟机管理程序获得根访问权限,CVE-2023-20867被赋予的CVSS v3分数仅为3.9分,不过Mandiant公司披露,一个名为UNC3886的网络间谍威胁组织利用了VMware Tools的漏洞,该组织在2022年就利用恶意软件系列攻击了ESXi主机。
在最近的攻击中,该网络间谍组织的目标是美国和亚太地区的国防、技术和电信组织。Mandiant称这些攻击者非常老练,他们利用了VMware 0day漏洞,从ESXi主机上的访客虚拟机执行特权命令,同时部署了持久的后门。这些攻击表明,一些CVSS分数较低的漏洞也可以被威胁分子用来造成重大破坏。
5、微软Windows和Office
2023年,微软产品曝出的最严重漏洞之一就是CVE-2023-36884(CNNVD编号:CNNVD-202307-797),这是Windows搜索工具中的远程代码执行(RCE)漏洞。该漏洞是在微软7月发布的周二补丁日中首次披露的,主要影响了Windows和Office软件。
与其他的微软漏洞相比,CVE-2023-36884漏洞主要有两大特点:首先,RCE漏洞在披露时没有补丁,微软仅提供了缓解措施以防止被利用,该漏洞一直到8月的周二补丁日才得到修复;其次,某东欧地区的网络犯罪组织将CVE-2023-36884用于侧重间谍的网络钓鱼活动以及出于牟利的勒索软件攻击。据微软报告,该组织的攻击目标是北美和欧洲的国防组织和政府实体。攻击者利用CVE-2023-36884绕过微软的MotW安全功能,该功能通常阻止恶意链接和附件。
6、WebP / Libwebp
2023年9月11日,谷歌针对其开发的图像格式WebP中一个严重的堆缓冲区溢出漏洞发布了紧急补丁。这个零日漏洞编号为CVE-2023-4863(CNNVD编号:CNNVD-202309-784),允许远程攻击者通过恶意WebP图像执行越界内存写入。
这个漏洞不仅仅影响谷歌的Chrome浏览器,同时还因影响所有支持WebP格式的浏览器,因此微软、苹果和Mozilla等公司也陆续发布了浏览器版本更新。更多细节显示,虽然谷歌最初称其为是WebP的缺陷,但安全研究人员指出,这个问题其实存在于开源Libwebp库中。
让事情变得更加复杂的是,Cloudflare等一些网络安全公司认为,CVE-2023-4863与Apple ImageI/O框架中的另一个0day堆缓冲区溢出漏洞之间存在相似之处,该漏洞在9月7日被披露和修补,并被追踪为CVE-2023-41064。研究人员发现,该漏洞已被商业间谍软件供应商NSOGroup的零点击攻击武器化。
7、苹果iOS和iPadOS
苹果在2023年也曝出了0day漏洞,特别是9月21日披露的iOS和iPadOS中的三个漏洞尤为突出。这些漏洞包括:CVE-2023-41992(操作系统内核中的特权提升漏洞,CNNVD编号为CNNVD-202309-2064)、CVE- 2023-41991(让攻击者可以绕过签名验证的安全漏洞,CNNVD编号为CNNVD-202309-2065)以及CVE-2023-41993(苹果的WebKit浏览器引擎中导致代码任意执行的漏洞,CNNVD编号为CNNVD-202309-2063)。这些漏洞被用在一条漏洞链中,用于投放商监视供应商Cytrox的间谍软件产品Predator。埃及议会前议员Ahmed Eltantawy在2023年5月至9月期间成为了Predator间谍软件的目标。研究人员调查了其手机上的活动,发现手机感染了Predator间谍软件。
8、Atlassian Confluence
10月4日,Atlassian公司披露并修补了其Confluence数据中心和服务器产品中的一个0day漏洞。该漏洞编号为CVE-2023-22515(CNNVD编号:CNNVD-202310-278),最初是特权提升漏洞,影响Confluence工作空间套件的自托管版本。Atlassian表示这是一个非常严重的漏洞,并给这个零日漏洞赋予10分的CVSS分数。
目前不清楚有多少Atlassian客户受到了该漏洞的攻击,也不清楚攻击者针对哪些类型的组织。Atlassian敦促所有客户立即更新Confluence实例,或者将高危版本与公共互联网隔离,直到可以正确地打上补丁。
9、思杰NetScaler ADC和NetScaler网关
2023年10月10日,思杰公司修复了两个影响多个版本NetScaler ADC和NetScaler网关的安全漏洞,其中一个是敏感信息泄露漏洞,编号为CVE-2023-4966(CNNVD编号:CNNVD-202310-666),它被网络安全专业人士认为是Citrix Bleed的最严重漏洞之一。
Mandiant调查发现,自8月以来就观察到牵涉CitrixBleed的攻击活动,主要针对政府和技术组织。威胁分子劫持高危设备的身份验证会话,从而得以绕过MFA和其他身份验证检查机制。更令人担忧的是,即使修复了CVE-2023-4966,这些被劫持的会话仍可能被威胁分子滥用,因此建议客户除了安装补丁外,还应该采取另外的缓解措施。
利用该零日漏洞的活动在11月仍在继续。CISA和FBI在联合报告中就LockBit攻击发出了安全警告,他们预计还将会看到该漏洞被大肆利用的现象。
10、思科IOS XE
2023年10月16日,思科公司发布了IOS XE软件中关键零日漏洞CVE-2023-20198(CNNVD编号:CNNVD-202310-1209)的安全公告。该零日漏洞影响所有启用了Web用户界面功能的IOS XE版本。远程攻击者可以利用该漏洞,针对运行该软件的设备获得最高访问权限。由于披露时还未发布补丁,因此思科公司建议客户立即禁用所有高危系统的HTTP服务器功能。研究人员表示,攻击者最早从9月18日起就开始利用漏洞,一连串攻击由同一伙身份不明的威胁分子实施。攻击者利用了漏洞在中招的设备上部署了名为BadCandy的植入软件。10月22日,思科发布了针对CVE-2023-20198以及第二个相关漏洞CVE-2023-20273的安全补丁。由于该漏洞已经被较广泛利用,思科敦促所有客户立刻部署补丁,并采取建议的缓解措施。
原文来源:安全牛