盘点 2023 年造成实际破坏的十大漏洞

CVE编号：CVE-2023-20198

该漏洞是 ActiveMQ 可扩展开源消息代理中的一个最严重的漏洞，源于允许具有代理网络访问权限的远程攻击者通过操纵 OpenWire 协议中的序列化类类型来运行任意 shell 命令。

Apache 修补了这一关键漏洞一周后，Huntress Labs 和 Rapid7 均报告发现攻击者利用该漏洞在客户网络上部署 HelloKitty 勒索软件有效负载。黑客还利用它来进行针对 Linux 系统的攻击和推送 TellYouThePass 勒索软件的初始访问。

相关阅读：

该漏洞是由于F5 BIG-IP通过Apache httpd转发AJP协议时存在一定问题，导致可以请求走私，绕过权限验证。未经授权的远程攻击者可以通过管理端口或自身IP地址访问BIG-IP系统，从而执行任意系统命令，进而接管服务器。

相关阅读：
https://paper.seebug.org/3066/

该漏洞（又称 Citrix Bleed）是一个未经身份验证的缓冲区相关漏洞，影响 Citrix NetScaler ADC 和 NetScaler Gateway，用于负载平衡、防火墙实施、流量管理、VPN 和用户身份验证的网络设备。未授权的远程攻击者可通过利用此漏洞，窃取敏感信息。值得一提的是，今年最活跃的网络犯罪团伙 LockBit 勒索组织正是利用该漏洞对全球范围多家公司进行了勒索攻击。

相关阅读：
https://hackernews.cc/archives/46959

CVSS评分：8.8分

该漏洞是由于Chrome WebP模块存在缺陷，攻击者可以通过诱导用户访问恶意网站来触发该漏洞，最终导致在目标系统上任意执行代码。Google警告 CVE-2023-4863 漏洞已被外部利用。

相关阅读：
https://paper.seebug.org/3056/

攻击者可利用该漏洞创建恶意RAR或ZIP存档，这些存档中显示看似无害的诱饵文件，例如 JPG 图像文件、文本文件或 PDF文档等文件，以及与文件同名的文件夹（包括文件扩展名），当用户打开这些文件时，将执行文件夹中的恶意脚本，导致在设备上安装恶意软件。

该漏洞遭到大量恶意利用，例如 Konni APT组织利用该漏洞攻击数字货币行业，与俄罗斯有关的网络间谍组织 APT29 利用该漏洞瞄准多个欧洲国家，包括阿塞拜疆、希腊、罗马尼亚和意大利，主要目标是渗透大使馆实体。

相关阅读：

CVE-2023-32435，CVSS评分：8.8分，WebKit 中的内存损坏漏洞，在处理特制的 Web 内容时可能导致任意代码执行。

CVE-2023-38606，CVSS评分：5.5分，Apple kernel 安全特性绕过漏洞，攻击者使用恶意应用程序利用该漏洞能够修改敏感的内核状态，从而可能控制设备。

CVE-2023-41990，CVSS评分：7.8分，该漏洞是处理字体文件的过程中可能导致任意代码执行，是该漏洞利用链“初始入口点”。

“三角测量行动”中使用的除了以上4个漏洞外还有1个PAC bypass的1day漏洞。

相关阅读：
https://hackernews.cc/archives/46431

该漏洞是由于 Atlassian Confluence Data Center & Server 的子组件 Struts2 继承关系处理不当，攻击者可以在未授权的情况下利用该漏洞，构造恶意数据进行认证绕过，获取服务器最高权限，进而接管服务器。

据报道，攻击者已利用该漏洞，使用 Cerber 勒索软件加密受害者的文件。

相关阅读：

相关阅读：WPS WebShape 漏洞及利用分析