2023 网络安全年度攻击及漏洞态势回顾

目录

• 2023年统计数据
• 2023 年漏洞威胁态势
• 排名靠前的漏洞类型
• 关键见解
• 高频MITRE ATT&CK战术和技术
• 最活跃的威胁
• 结论

    随着 2023 年接近尾声，是时候停下来反思了。现在是时候评估哪些做得很好，哪些不足，哪些引起了我们的注意并造成了破坏，哪些被忽视了。更重要的是，我们需要知道我们从2023年吸取了哪些教训，以便我们能够在来年更好地管理风险。与此一致，Qualys 威胁研究部门准备了一个全面的博客系列，以回顾 2023 年的威胁形势。

关键要点：

• 不到 1% 的漏洞导致了最高危害，并且经常在野被利用。
• 97 个可能被利用的高风险漏洞不在 CISA 已知利用漏洞（KEV）目录中。
• 这些安全漏洞中有25%立即成为利用对象，漏洞利用在漏洞本身公开披露的同一天发布。
• 1/3 的高风险漏洞影响了网络设备和 Web 应用程序。
• 利用远程服务、利用面向公众的应用程序和利用权限提升是 MITRE ATT&CK 的三大策略。

2023年统计数据

    截至撰写本文时，2023年已经有26,447个漏洞被披露，比 2022 年披露的漏洞总数多了 1,500 多个 ，这延续了多年来发现的漏洞比前一年多的趋势。

    但是，并非所有漏洞都存在高风险; 事实上，一小部分（不到 1%）的风险最高。这些特别严重的漏洞是那些被武器化利用的漏洞，被勒索软件、威胁行为者和恶意软件积极利用的漏洞，或者已经确认了在野外被利用的证据。我们将详细研究这些漏洞。

2023 年漏洞威胁态势

    让我们更深入地了解 2023 年漏洞的细分。

    Qualys 威胁研究部门 （TRU） 分析了高风险漏洞，以获得更多见解并讨论常见趋势。TRU检查了哪些被利用最多，使用了哪些攻击方法和战术，以及我们可以使用哪些策略来加强对它们的防御。他们的研究结果的一些亮点：

• 超过 7,000 个漏洞具有概念验证漏洞利用代码。这些漏洞可能导致成功利用这些漏洞;但是，漏洞利用代码通常质量较低，这可能会降低攻击成功的可能性。
• 206 个漏洞已将漏洞利用代码武器化。如果使用这些漏洞，极有可能危及目标系统。
• 有 115 个漏洞经常被威胁行为者、恶意软件和勒索软件组织（如 CL0P）利用。
• 在观察到的漏洞中，有 109 个已知的漏洞被利用，并被列入 CISA KEV。
• 97 个漏洞在野外被利用，但未包含在 CISA KEV 列表中。注意：根据 CISA KEV 确定优先级的组织应特别注意这些 CVE。
• LockBit 和 Cerber 等勒索软件组织利用了 20 个漏洞。
• 此外，恶意软件和僵尸网络组织利用了 15 个漏洞。

排名靠前的漏洞类型

    超过三分之一的高风险漏洞可以被远程利用。五种最普遍的漏洞类型占已发现漏洞总数的70%以上。这凸显了对全面的漏洞管理策略的迫切需求，该策略包括远程扫描功能，而不仅仅是依赖基于代理的方法。

图 3.各种产品类型中关键漏洞类型的流行率

关键见解

2023 年利用高风险漏洞的平均时间

    2023 年，我们目睹了利用高风险漏洞的关键趋势。我们的分析揭示了攻击者利用这些漏洞的速度有多快。

    2023 年利用漏洞的平均时间为 44 天（约一个半月）。

    然而，这个平均值掩盖了情况的紧迫性。在许多情况下，漏洞在发布当天就被利用了。这一立即行动代表了攻击者作案手法的转变，凸显了他们不断提高的效率和防御者不断缩小的反应窗口。

    让我们仔细看看 0 到 25 天之间的数据。

25% 的高风险 CVE 在发布当天被利用：这些安全漏洞中有 25% 立即成为利用目标，漏洞利用在漏洞本身公开披露的同一天发布。这一统计数据为组织敲响了警钟，要求对补丁管理和威胁情报采取积极主动的态度。

三周窗口：数据进一步显示，75%的漏洞在发布后19天（约三周）内被利用。此时间表为组织提供了一个关键窗口，可以确定和解决最关键的漏洞。

三分之一的高风险漏洞出现在网络基础设施和 Web 应用程序中

    在 206 个已发现的针对网络基础设施或 Web 应用程序领域的漏洞中，其中32.5%很难通过传统手段进行保护。

图 6.2023 年按产品类型划分的被利用漏洞

    这凸显了全面漏洞管理战略的必要性。通过部署各种漏洞管理方法，包括基于代理、无代理和基于网络的技术，组织可以确保对所有 IT 资产进行广泛和主动的保护。这种多管齐下的策略对于有效检测和补救威胁至关重要，从而在特别容易受到复杂网络风险影响的领域加强安全性和合规性。Qualys 通过包括代理支持以及网络、外部和被动扫描功能来扩大保护范围，使组织能够详细而多样化地了解其安全状况。

超过 50% 的高风险漏洞被威胁行为者和勒索软件组织利用

    在我们跟踪的 206 个高风险漏洞中，超过 50% 被威胁行为者、勒索软件或恶意软件用来破坏系统。

• 115 个被指定的威胁行为者利用。
• 20 个被勒索软件利用。
• 15 个被恶意软件和僵尸网络利用。

    发现的漏洞涵盖广泛的系统和应用程序，包括但不限于 PaperCut NG、MOVEit Transfer、各种 Windows 操作系统、Google Chrome、Atlassian Confluence 和 Apache ActiveMQ。这种广度表明，攻击者无法利用任何应用程序来破坏系统。

    值得注意的是，其中许多漏洞，例如在 MOVEit Transfer、Windows SmartScreen 和 Google Chrome 中发现的漏洞，都可以远程利用，从而避免了对目标系统的物理访问。

    某些漏洞允许攻击者规避身份验证机制，如PaperCut NG中的漏洞，或提升其权限，例如Windows通用日志文件系统驱动程序漏洞。这些类型的漏洞尤其令人担忧，因为它们有可能授予攻击者更高级别的访问权限，从而简化系统入侵和数据泄露工作。

    此外，在 Fortra GoAnywhere MFT 和 Apache ActiveMQ 等平台中发现的漏洞能够促进远程代码执行或命令注入。这些允许攻击者运行任意命令，这可能导致完全的系统控制。

    网络安全威胁通常针对 MOVEit Transfer 中的特定软件版本，需要动态和全面的策略。这包括定期更新、补丁、漏洞评估和强大的身份验证。积极主动的预防措施对于有效防御这些不断演变的复杂威胁至关重要，而不仅仅是被动的应对措施。

最高频的MITRE ATT&CK战术和技术

    2023 年，我们数据集中的所有 206 个漏洞都被武器化，为网络对手所采用的策略提供了鲜明的视角。在这里，我们来看看这些漏洞利用中使用的最高频的MITRE ATT&CK技术和方法，这揭示了最普遍的网络攻击途径：

图 7.顶级MITRE ATT&CK战术和技术发生

1. 利用远程服务（T1210和T0866）：这是最常见的方法，在企业环境中有72次，在工业控制系统（ICS）中有24次。这种技术用于初始访问和横向移动，突出了保护远程服务协议免受未经授权的访问和利用的重要性。

2. 利用面向公众的应用程序（T1190 和 T0819）：在企业域中发生 53 次，在 ICS 中发生 19 次，该技术针对可从 Internet 访问的应用程序。这是攻击者青睐的初始访问途径，展示了对强大的面向外部的应用程序安全性的迫切需求。

3. 利用权限升级 （T1068）：该技术涉及攻击者利用漏洞在系统内获得更高的权限，已注意到 20 次。它的出现凸显了在企业网络中进行有效权限管理和监控的必要性。

    除了主要方法外，2023 年还观察到了其他策略，这些策略有助于形成多样化的威胁矩阵，例如：

• 利用客户端执行 （T1203）
• 移动权限提升 （T1404）
• 应用程序/系统开发 （T1499.004）
• 外部远程服务 （T1133）
• 路过式妥协 （T1189）
• ICS 中的权限提升 （T0890）
• 恶意链接 （T1204.001）
• 移动中的远程服务开发 （T1428）

    这些技术中的每一种都代表了网络安全的独特挑战，为网络对手不断变化的策略提供了见解。从利用面向公众的应用程序到利用远程服务和执行权限提升，这些方法描绘了一幅复杂而多方面的威胁形势图景。了解这些流行的攻击技术对于制定更有效的防御策略和加强针对这些普遍威胁的网络安全措施至关重要。

最活跃的威胁

最常被利用的漏洞

    今年，最常被利用的漏洞包括：

CVE-2023-0669、CVE-2023-20887、CVE-2023-22952、CVE-2023-23397、CVE-2023-24880、CVE-2023-27350、CVE-2023-28252、CVE-2023-2868、CVE-2023-29059、CVE-2023-34362

    这些漏洞的利用量表明了攻击方式的变化趋势，并强调了有针对性的防御策略的必要性。

CVE漏洞	标题	Qualys 漏洞评分  （QVS）
CVE-2023-0669 漏洞	Fortra GoAnywhere 托管文件传输 （MFT） RCE 漏洞	95
CVE-2023-20887 漏洞	VMware Aria Operations for Networks 命令注入漏洞	95
CVE-2023-22952 漏洞	SugarCRM 远程代码执行 （RCE） 漏洞	95
CVE-2023-23397 漏洞	Microsoft Outlook 特权提升漏洞	95
CVE-2023-24880 漏洞	Windows SmartScreen 安全功能绕过漏洞	95
CVE-2023-27350 漏洞	PaperCut NG/MF多重安全漏洞	100
CVE-2023-28252 漏洞	Windows 通用日志文件系统驱动程序特权提升漏洞	95
CVE-2023-2868 漏洞	梭子鱼邮件安全网关漏洞	95
CVE-2023-29059 漏洞	3CX 桌面客户端供应链漏洞	95
CVE-2023-34362 漏洞	MOVEit 传输注入漏洞	100

2023 年最活跃的威胁参与者

    2023 年，TA505（也称为 CL0P 勒索软件团伙）震撼了网络。该组织通过利用零日漏洞策划了一系列备受瞩目的网络攻击，他们特别利用了 GoAnywhere MFT、PaperCut、MOVEit 和 SysAid 等关键平台中的零日漏洞。他们巧妙地使用各种恶意软件类型来收集信息和促进攻击，这表明着他们是一个重大威胁。他们行动的严重性促使网络安全和基础设施安全局（CISA）和联邦调查局（FBI）发出建议，强调需要改进网络安全措施。

2023 年最活跃的恶意软件

    2023 年，LockBit 和 Clop 在勒索软件领域表现突出。LockBit 使用其先进的勒索软件即服务模型，针对一系列组织，包括 IT 和金融部门。值得注意的是，LockBit 利用了 PaperCut NG 中的 CVE-2023-27350 和 Google Chrome 中的 CVE-2023-0699 等漏洞，允许远程攻击者绕过身份验证并利用堆损坏。

    Clop 以利用漏洞而闻名，对大型企业进行了广泛的攻击，尤其是在金融、IT 和医疗保健领域。Clop 的活动包括利用 CVE-2023-27350、CVE-2023-34362、CVE-2023-0669 和 CVE-2023-35036。这些漏洞包括MOVEit Transfer中的SQL注入（允许数据库访问）、GoAnywhere MFT中的预身份验证命令注入以及绕过PaperCut NG中的身份验证。

    网络安全正在不断发展，黑客工具和知识的激增使技术水平较低的黑客能够利用曾经只有高度复杂的攻击者才能访问的漏洞。这扩大了攻击者的范围，包括高级黑客、经验不足的恶意网络行为者和数字活动家，标志着网络威胁动态的重大转变。

    这些实例凸显了漏洞从发布到武器化利用再到利用的速度，并说明了网络威胁在漏洞披露后立即演变。这种从出版到利用和武器化的快速演变凸显了组织密切监测披露并实施快速反应机制以减轻潜在攻击的迫切需要。

    带有 TruRisk 的 Qualys VMDR 通过为每个漏洞提供明确的 TruRisk 评分 （QVS），简化了被利用漏洞的优先级。技术和非技术团队都可以轻松理解此评分系统，有助于识别高风险问题。TruRisk 始终如一地评估 QVS 超过 90 的漏洞，应优先考虑并及时解决，以实现有效的风险管理。

结论

    当我们结束对 2023 年威胁形势的分析时，很明显，漏洞武器化的快速步伐和威胁参与者的多样性给全球组织带来了重大挑战。以下是降低风险的一些关键建议：

• 为了准确评估组织内开放漏洞带来的真正风险，企业必须采用一套全面的传感器，从代理到网络扫描程序再到外部扫描程序。

• 彻底清点所有面向公众的应用程序和远程服务，以确保它们不容易受到高风险漏洞的攻击。

• 采用多方面的方法来确定漏洞的优先级。重点关注那些已知在野外被利用的人（从 CISA KEV 开始）、那些被利用的可能性很高的人（以高 EPSS 分数表示）以及那些拥有武器化漏洞利用代码的人。

    这些建议将有助于加强对漏洞和风险管理采取稳健、主动方法的迫切需要，尤其是在网络威胁日益复杂和普遍的时代。

原文始发于微信公众号（星尘安全）：2023 网络安全年度攻击及漏洞态势回顾