警惕!2024年全球零日漏洞利用呈現七大趨勢
責編:gltian |2024-12-26 15:58:192024年,零日漏洞的數量再次顯著增加。由于缺乏可用的補丁,這些漏洞使攻擊者可以先于網絡防御團隊采取行動,成為攻陷企業系統的核心武器。
盡管所有零日漏洞都是首席信息安全官(CISO)及其團隊必須了解的,也是供應商必須盡快修復的,但某些零日漏洞特別重要,因為它們揭示了攻擊者試圖通過哪些產品獲得對企業網絡和數據的訪問權限。
以下總結了2024年零日漏洞利用激增的背景下,CISO及其企業安全團隊應密切關注的一些重要趨勢。這些趨勢因其重要性、創新性或對企業資產的直接影響而意義重大。
1. 針對網絡安全設備的零日攻擊增加
今年,針對網絡邊緣設備(包括VPN網關、防火墻、郵件安全網關和負載均衡系統)的攻擊明顯加速。這些設備因其強大的功能、在網絡中的特權位置以及底層代碼和操作系統的有限可見性,成為攻擊者進入企業網絡的理想入口點。
年初,Ivanti披露了Connect Secure(SSL VPN)和Policy Secure(網絡訪問控制)產品中的兩個零日漏洞。其中一個漏洞(CVE-2023-46805)允許身份驗證繞過,另一個漏洞(CVE-2024-21887)使攻擊者能夠進行底層操作系統的命令注入。這些漏洞被一個國家級黑客組織利用,并組合成攻擊鏈。
在這一年中,又發現了多個針對以下設備的零日漏洞攻擊:
- Citrix NetScaler ADC和NetScaler Gateway(CVE-2023-6548,代碼注入;CVE-2023-6549,緩沖區溢出)
- Ivanti Connect Secure(CVE-2024-21893,服務器端請求偽造)
- Fortinet FortiOS SSL VPN(CVE-2024-21762,任意代碼執行)
- Palo Alto Networks PAN-OS(CVE-2024-3400,命令注入)
- Cisco Adaptive Security Appliance(CVE-2024-20359,任意代碼執行;CVE-2024-20353,拒絕服務)
- Check Point Quantum Security Gateways和CloudGuard Network Security(CVE-2024-24919,路徑遍歷導致信息泄露)
- Cisco NX-OS交換機(CVE-2024-20399,命令行界面(CLI)命令注入)
- Versa Networks Director(CVE-2024-39717,任意文件上傳和執行)
- Ivanti Cloud Services Appliance(CVE-2024-8963,路徑遍歷導致遠程代碼執行)
- Ivanti Cloud Services Appliance(CVE-2024-9381,與CVE-2024-8963結合的路徑遍歷)
- Ivanti Cloud Services Appliance(CVE-2024-9379,與CVE-2024-8963結合的SQL注入導致應用接管)
- Ivanti Cloud Services Appliance(CVE-2024-9380,與CVE-2024-8963結合的操作系統命令注入)
- Fortinet FortiManager(CVE-2024-47575,缺失身份驗證導致系統完全失陷)
- Cisco Adaptive Security Appliance(CVE-2024-20481,遠程訪問VPN拒絕服務)
- Palo Alto PAN-OS(CVE-2024-0012,不當身份驗證與CVE-2024-9474結合導致命令注入)
此外,一些已知漏洞(已修復的nday漏洞)也持續在未修補的網絡邊緣設備和應用中被廣泛利用,使這些系統在2024年成為攻擊者(尤其是國家支持的網絡間諜組織)的主要目標之一。
2. 遠程監控和管理仍是熱門目標
攻擊者,尤其是為勒索軟件團伙工作的初始訪問經紀人,習慣性地濫用遠程監控和管理(RMM)產品,不僅用于維持在企業網絡中的持久性,還用于突破網絡防線。
早在2021年,REvil勒索軟件團伙就曾利用Kaseya VSA服務器(托管服務商經常使用的RMM平臺)中的漏洞。今年2月,攻擊者又利用了ConnectWise ScreenConnect中的兩個零日漏洞:路徑遍歷(CVE-2024-1708)和身份驗證繞過(CVE-2024-1709)。
通過這些漏洞,攻擊者得以訪問初始設置向導并重置管理員密碼。正常情況下,這種設置向導僅應運行一次,并在完成配置后受到保護。
3. 托管文件傳輸受到攻擊
勒索軟件團伙頻繁以企業托管文件傳輸軟件(MFT)為目標,以獲取企業網絡的初始訪問權限。2024年12月,攻擊者利用了Cleo LexiCom、VLTrader和Harmony這三種企業文件傳輸產品中的任意文件寫入漏洞(CVE-2024-55956)。
該漏洞與2024年10月在Cleo同一產品中修復的另一個漏洞(CVE-2024-50623)類似。后者允許任意文件寫入和讀取。盡管這些漏洞出現在相同的代碼基礎部分,并可通過相同端點訪問,但Rapid7研究人員表示它們是獨立漏洞,無需結合利用。
攻擊者可以通過CVE-2024-55956將惡意文件寫入應用的Autorun目錄,并利用內置功能執行這些文件,從而下載其他惡意軟件負載。
2023年,Cl0p勒索軟件團伙曾利用MOVEit Transfer中的SQL注入零日漏洞(CVE-2023-34362)竊取了多個組織的數據。今年,MOVEit Transfer產品中又發現了兩個嚴重的身份驗證繞過漏洞(CVE-2024-5806和CVE-2024-5805),引發了新一輪漏洞利用潮,尤其是勒索軟件團伙多次將MFT產品作為攻擊目標的背景下。
2023年初,Cl0p還利用了GoAnywhere MFT中的遠程代碼執行零日漏洞(CVE-2023-0669),聲稱竊取了130家組織的數據。更早在2020年,該團伙曾利用Accellion File Transfer Appliance中的零日漏洞(CVE-2021-27101)。
4. 持續集成/持續交付工具漏洞吸引攻擊者
攻擊者還在尋找持續集成/持續交付(CI/CD)工具中的漏洞。這些工具不僅可能成為企業網絡的潛在入口(尤其是暴露在互聯網上時),還可能被用來入侵軟件開發管道,從而引發供應鏈攻擊。2020年SolarWinds Orion軟件后門攻擊事件,就是此類攻擊的知名案例。這款軟件被數以萬計的私營企業和政府機構使用。
2024年1月,研究人員發現了Jenkins中的一個路徑遍歷漏洞(CVE-2024-23897),該漏洞可能導致代碼執行。由于漏洞源于軟件解析CLI命令的方式,被評為“嚴重”漏洞。盡管在漏洞公開披露時,修補程序已經發布,因此不屬于零日漏洞,但攻擊者迅速開發了利用方法。漏洞利用工具在3月便開始被出售。到8月,美國網絡安全和基礎設施安全局(CISA)已將該漏洞加入其“已知漏洞利用目錄”,因為勒索軟件團伙開始利用該漏洞攻破企業網絡并竊取敏感數據。
今年,攻擊者還利用了另一個CI/CD工具的已知漏洞(CVE-2024-27198)。這是JetBrains TeamCity(一種構建管理和持續集成服務器)中的身份驗證繞過問題。該漏洞可能導致服務器完全失陷,并允許遠程代碼執行。
這并非攻擊者首次將目標對準TeamCity。2023年9月,另一個身份驗證繞過漏洞(CVE-2023-42793)被發現。該漏洞很快被朝鮮國家支持的黑客利用,用于攻破Windows環境。而在2024年,這一漏洞繼續成為其他攻擊團伙的目標。
5. 軟件供應鏈攻擊層出不窮
CI/CD工具漏洞并不是攻擊者進入開發/構建環境,并破壞源代碼或植入后門的唯一途徑。今年,一場持續多年的滲透行動被曝光,一名使用假身份的惡意開發者逐漸贏得了一個開源項目的信任,并被添加為XZ Utils庫的維護者。該庫是一種廣泛使用的開源數據壓縮庫。
這名惡意開發者“Jia Tan”在XZ Utils代碼中逐步添加了一個與SSH交互的后門,目的是在系統上打開未經授權的遠程訪問通道。幸運的是,該后門在被納入穩定版Linux發行版之前就被意外發現。
這一漏洞(CVE-2024-3094)凸顯了開源生態系統中供應鏈攻擊的高風險。由于人手和資金不足,許多關鍵且廣泛使用的開源項目在接受新開發者貢獻時審查不夠嚴格,從而埋下安全隱患。
此外,12月,攻擊者利用GitHub Actions中的腳本注入漏洞,入侵并植入Ultralytics YOLO(一種開源AI庫)PyPI版本的后門。這類因不安全使用GitHub Actions CI/CD服務而引發的腳本注入漏洞在今年早些時候已被記錄,且可能影響許多托管在GitHub上的項目。
6. AI熱潮帶來新的攻擊可能性
隨著組織競相測試和整合AI聊天機器人及機器學習模型到業務工作流中,它們在云基礎設施上部署了各種AI相關框架、庫和平臺。然而,這些平臺不僅配置不安全,還可能存在漏洞。攻擊者利用這些漏洞可以訪問敏感的知識產權(如定制的AI模型和訓練數據),甚至還可能獲得對底層服務器的控制權限。
Jupyter Notebooks是一種廣泛用于數據可視化和機器學習的基于Web的交互式計算平臺,其實例經常被僵尸網絡攻擊,用于感染服務器并運行加密貨幣挖礦程序。今年在Windows版本中發現的一個漏洞(CVE-2024-35178)允許未經身份驗證的攻擊者泄露服務器運行用戶的NTLMv2密碼哈希。如果破解成功,攻擊者可以利用該密碼在同一網絡中的其他機器上進行橫向移動。
此外,11月,JFrog研究人員披露了對機器學習工具生態系統的分析結果,發現了15個不同機器學習(ML)項目中的22個漏洞,涵蓋服務器端和客戶端組件。今年10月,Protect AI通過其漏洞獎勵計劃報告了34個存在于開源AI/ML供應鏈中的漏洞。
這些研究表明,作為較新的領域,許多AI/ML框架在安全性方面尚不成熟,或者未受到與其他類型軟件同等水平的安全審查。盡管研究人員正在加強對這些工具的審查,但惡意攻擊者也在積極研究這些工具,而仍有大量未被發現的漏洞為他們提供了可乘之機。
7.安全功能繞過使攻擊更具威脅性
盡管組織應優先修補嚴重的遠程代碼執行漏洞,但需要注意的是,攻擊者在實際操作中同樣會利用權限提升或安全功能繞過等低嚴重性漏洞,這些漏洞對于攻擊鏈的成功至關重要。
今年,攻擊者利用了Windows中的5個零日漏洞,這些漏洞允許繞過SmartScreen提示,從而執行從互聯網上下載的文件:CVE-2024-38217、CVE-2024-38213、CVE-2024-29988、CVE-2024-21351和CVE-2024-21412。
Windows Defender SmartScreen是一種內置于Windows的文件信譽功能,用于將攜帶“網頁標記”(MOTW)標志的文件視為可疑,從而向用戶顯示更強烈的安全警告。
任何能繞過此功能的技術,都會成為攻擊者通過電子郵件附件或驅動下載傳播惡意軟件的利器。近年來,勒索軟件團伙尤其傾向于尋找并利用SmartScreen繞過漏洞。
權限提升漏洞也非常有用,因為它們允許當前用戶執行的惡意代碼獲得系統管理員級權限。今年,Windows和Windows Server中報告了11個權限提升零日漏洞,而遠程代碼執行零日漏洞僅有5個。
參考資料:https://www.csoonline.com/article/3629815/top-7-zero-day-exploitation-trends-of-2024.html