2023年,随着勒索软件和APT组织纷纷调整攻击策略,零日漏洞攻击快速升温并有望在2024年延续这一趋势。
根据谷歌威胁分析小组今年7月发布的报告,2021年野外利用零日漏洞数量(69个)创下历史新高后,2022年有所下滑,但2023年随着重大零日漏洞利用事件的大幅增长,零日漏洞攻击重新升温,从商业间谍到勒索软件攻击,零日漏洞被广泛使用。
零日漏洞利用对攻击者的财力或技能有着很高要求,但是“零日漏洞+供应链攻击”产生的倍增效应使得零日漏洞攻击的“投入产出比”极速飙升。赛门铁克首席情报分析师Dick O’Brien指出,2024年攻击者将更频繁地利用零日漏洞,因为类似MOVEit文件传输漏洞可产生巨大的“爆炸半径”,同时影响全球数以千计的企业。
以下是2023年10起最大的零日攻击(按时间顺序排列)。
1.GoAnywhere(MFT零日漏洞)
2023年最具杀伤力的零日攻击是利用多个流行托管文件传输产品(MFT)的供应链攻击。Fortra的GoAnywhere是首个造成重大影响的MFT零日漏洞攻击。
网络安全记者Brian Krebs于2023年2月2日首次报道了GoAnywhere中的预身份验证命令注入零日漏洞(CVE-2023-0669);此前一天,Fortra向客户发布了CVE-2023-0669安全建议。
该漏洞于2月7日得到修补,但直到3月14日数据安全供应商Rubrik披露GoAnywhere漏洞导致的数据泄漏事件,GoAnywhere漏洞利用细节才成为业界关注的焦点。同一天,勒索软件组织Clop在其数据泄露网站上列出了Rubrik。
Rubrik是首个公开报道的因GoAnywhere零日漏洞发生数据泄露的企业(零号病人),随后包括宝洁公司、日立能源公司等大量知名企业纷纷中招。
Clop声称对100多起数据勒索攻击负责,但尚不清楚有多少受害者支付了赎金。FortraGoAnywhere是第一个MFT零日漏洞,它的“大获成功”使得“零日漏洞+供应链攻击+数据勒索”成为2023年对攻击者最具吸引力,造成损失最大的攻击组合之一。
2.梭子鱼邮件安全网关(远程命令注入漏洞)
5月23日,梭子鱼(Barracuda Networks)披露在其电子邮件安全网关(ESG)设备中发现了一个远程命令注入零日漏洞(CVE-2023-2868)。梭子鱼表示,它于5月18日聘请了谷歌旗下威胁情报公司Mandiant来调查其ESG设备的可疑活动,从而发现了该零日漏洞,并于第二天向所有设备发布了补丁。但调查显示,漏洞CVE-2023-2868早在2022年10月就已被利用。梭子鱼表示,攻击者使用三种类型的恶意软件来获得对“ESG设备子集”的持久后门访问,它们被用来从客户网络中窃取数据。
当梭子鱼于6月6日宣布“受影响的ESG设备”需要立即更换时,事态变得非常糟糕。梭子鱼后来澄清说,只有受到威胁行为者“损害”的设备才需要更换,并且将免费向客户提供新产品。
3.MoveIt Transfer(MFT零日漏洞)
5月31日另一个MFT零日漏洞浮出水面,Progress Software当日披露并修补了其MoveIt Transfer软件中的一个SQL注入漏洞,编号为CVE-2023-34362。第二天,Rapid7报告了该零日漏洞被利用的情况,但几天后情况迅速恶化。
6月4日,微软威胁情报中心将MoveIt Transfer漏洞的利用归因于其追踪的威胁实体Lace Tempest,该实体又与Clop勒索软件组织有关。Clop也是GoAnywhere零日漏洞的积极利用者。
CVE-2023-34362首次披露几个月后,受害者名单继续增长。与针对Fortra GoAnywhere客户的攻击一样,MoveIt零日漏洞的攻击者仅专注于数据盗窃,并未在受害者的环境中部署勒索软件。目前尚不清楚有多少受害者向Clop支付了赎金,但此次攻击的范围和规模是惊人的。Emsisoft在9月份估计,Clop利用MoveIt零日漏洞实施的数据盗窃和勒索活动影响了2095个组织和超过6200万人。
4.VMwareTools(身份验证绕过漏洞)
6月13日,VMware披露了一个影响ESXi虚拟机管理程序实例的低危漏洞——身份验证绕过漏洞(CVE-2023-20867),攻击者可在受感染ESXi主机上绕过VMware Tools的主机到来宾(host-to-guest)操作中的身份验证检查,并最终入侵虚拟机。
CVE-2023-20867的CVSSv3分数仅为3.9,因为利用该漏洞需要攻击者获得ESXi虚拟机管理程序的root访问权限。然而,发现该零日漏洞的Mandiant报告称,威胁组织可利用该零日漏洞从ESXi主机上的来宾虚拟机执行特权命令,同时还部署持久后门。
这些攻击表明,即使CVSS评分严重程度较低的漏洞也可能被用来造成重大损害。
5.微软Windows和Office(远程代码执行漏洞)
2023年,微软产品中曝出大量零日漏洞,其中最严重的一个是CVE-2023-36884,它是WindowsSearch中的远程代码执行漏洞(RCE)。该漏洞在微软7月补丁星期二版本中首次披露,影响Windows和Office软件。
CVE-2023-36884与其他Microsoft零日漏洞有两个不同之处。首先,尽管微软确实提供了缓解措施来防止利用该漏洞,但在披露时该RCE漏洞还没有补丁。该漏洞最终在八月补丁星期二版本中才得到修复。
其次,微软透露,其追踪的一个名为Storm-0978的俄罗斯网络犯罪组织在以间谍活动为主的网络钓鱼活动以及经济动机的勒索软件攻击中利用了CVE-2023-36884。根据微软的报告,Storm-0978的攻击活动针对北美和欧洲的国防组织和政府实体。网络钓鱼电子邮件包含与北约和乌克兰世界大会相关的诱饵,攻击者利用CVE-2023-36884绕过Microsoft的Web标记(MotW)安全功能,该功能通常会阻止恶意链接和附件。
在调查该漏洞利用链时,Palo Alto Networks Unit42的安全研究人员发现了另一个漏洞,编号为CVE-2023-36584。该漏洞于10月份披露,还可以让攻击者绕过MotW保护。
6.WebP/Libwebp(堆栈缓冲区溢出漏洞)
9月11日,谷歌针对图像格式WebP中的一个严重堆缓冲区溢出漏洞发布了紧急补丁。该零日漏洞的编号为CVE-2023-4863,允许远程攻击者通过恶意WebP图像执行越界内存写入。
该漏洞不仅仅影响谷歌的Chrome浏览器。由于WebP格式得到其他浏览器制造商的支持,微软、苹果和Mozilla等公司也发布了浏览器更新。虽然谷歌最初将CVE-2023-4863描述为WebP中的漏洞,但安全研究人员指出,问题出在开源Libwebp库中,很多非浏览器开发人员也使用该库。
让事情变得更加复杂的是,Cloudflare等一些网络安全公司指出CVE-2023-4863与Apple ImageI/O框架中的另一个零日堆缓冲区溢出漏洞之间存在相似之处,该漏洞在几天前于9月7日被披露并修补。Apple漏洞被追踪为CVE-2023-41064,由公民实验室的研究人员发现,他们发现该漏洞已被商业间谍软件供应商NSO Group的零点击攻击武器化。
Citizen Lab与Apple的安全工程和架构团队也发现了CVE-2023-4863。然而,这两个组织都没有将CVE-2023-4863的零日漏洞攻击归咎于NSO集团,也没有提供漏洞利用的进一步细节。
7.苹果iOS和iPadOS(操作系统内核提权漏洞)
与微软一样,苹果在2023年也出现了零日漏洞。然而,9月21日披露的iOS和iPadOS中的三个零日漏洞尤为突出,分别是:
- CVE-2023-41992,这是操作系统内核中的一个特权提升漏洞;
- CVE-2023-41991,一个可让攻击者绕过签名验证的安全漏洞;
- CVE-2023-41993,Apple WebKit浏览器引擎中的一个漏洞,可导致任意代码执行。
公民实验室的研究员Bill Marczak和Google威胁分析小组(TAG)的安全研究员Maddie Stone发现了这三个零日漏洞。在9月22日的一篇博客文章中,公民实验室的研究人员透露,这些漏洞被用在一个漏洞利用链中来传播商业监控供应商Cytrox的间谍软件产品Predator。据公民实验室称,前埃及议会议员艾哈迈德·埃尔坦塔维(Ahmed Eltantawy)在2023年5月至9月期间成为Predator间谍软件的攻击目标。
在Eltantawy宣布打算在2024年埃及大选中竞选总统后,他联系了公民实验室,表达了对手机安全的担忧。公民实验室的研究人员与谷歌的TAG一起调查了他手机上的活动,发现手机已感染了Predator间谍软件。公民实验室将这次袭击归咎于埃及政府,并表示此案表明“雇佣间谍软件”有多么危险。
8.Atlassian Confluence(满分漏洞)
10月4日,Atlassian披露并修补了其Confluence数据中心和服务器产品中的一个零日漏洞,编号为CVE-2023-22515,最初被描述为影响Confluence工作区套件的自我管理版本的特权提升漏洞。
该零日漏洞的CVSS评分高达10分,与Confluence数据中心和服务器软件中的访问控制损坏有关。更多信息在接下来的一周被披露,微软通过X(推特)表示,自9月14日以来,一个国家黑客组织一直在利用该漏洞。
目前尚不清楚有多少Atlassian客户受到Storm-0062的攻击,也不清楚攻击者针对的是哪些类型的组织。Atlassian敦促所有客户立即更新其Confluence实例,或从公共互联网上隔离易受攻击的版本,直到他们能够正确应用补丁。
9.Citrix Bleed(MFA绕过)
当一个漏洞拥有自己的“昵称”时,通常表明该漏洞造成了严重影响。10月10日,Citrix解决了影响NetScaler ADC(以前称为Citrix ADC)和NetScaler Gateway(以前称为Citrix Gateway)多个版本的两个漏洞。其中一个是可泄漏敏感信息的高危漏洞,编号为CVE-2023-4966。这个高危零日漏洞被信息安全专业人士称为Citrix Bleed,CVSS评分高达9.4。
一周后,根据Mandiant的报告,自2023年8月份以来,它观察到大量Citrix Bleed的野外利用活动,主要针对政府和技术组织。研究人员观察到威胁行为者劫持了易受攻击的设备的经过身份验证的会话,这使他们能够绕过MFA和其他强大的身份验证检查。更令人担忧的是,Mandiant警告称,即使CVE-2023-4966已修补,这些被劫持的会话仍可能被威胁行为者使用。该公司建议客户除了修补Citrix Bleed之外还应采取其他缓解措施。
11月份,金融服务信息共享和分析中心警告说,臭名昭著的LockBit勒索软件团伙正在利用Citrix Bleed。CISA和FBI在一份联合咨询中针对LockBit攻击发出了类似的警告,并表示这些机构预计该漏洞将被“广泛利用”。
10.思科IOS XE(“满分漏洞”)
2023年10月16日,思科披露了其IOS XE软件中的一个高危零日漏洞,CVSS评分高达10分。思科警告说,该零日漏洞影响启用了Web用户界面功能的所有版本的IOS XE。远程攻击者可以利用该漏洞获得设备的最高级别特权访问。该漏洞披露时还没有可用的补丁,思科建议客户禁用所有易受攻击系统的HTTP服务器功能。
在博客文章中,思科Talos研究人员表示,漏洞利用活动于2023年9月18日开始,并且这一系列攻击是由同一名身份不明的威胁发起者发起的。威胁行为者利用该漏洞在受感染的设备上部署名为BadCandy的Cisco Talos植入程序。
就在思科首次披露漏洞后一天,安全供应商警告称,CVE-2023-20198正面临大规模利用。例如,VulnCheck对易受攻击的IOS XE实例的互联网扫描发现了数千个被植入的主机。10月22日,思科发布了CVE-2023-20198补丁,并披露了思科Talos研究人员在调查过程中发现的第二个相关漏洞(CVE-2023-20273)。随着该漏洞的大规模利用,思科敦促所有客户应用补丁并实施建议的缓解措施。