2023 年 GreyNoise 在野大规模漏洞利用报告

admin 2024年2月7日23:10:10评论32 views字数 1803阅读6分0秒阅读模式

美国第十八任总统、南北战争中出色的将领 Ulysses S. Grant 曾说“战争的艺术很简单:找到敌人在哪里,尽可能快地对他们进行猛烈打击”。GreyNoise 的创始人 Andrew Morris 认为:尽管攻击技术复杂多变、市场风起云涌,防御的艺术也很简单:找到攻击者使用的技术,确定攻击来自哪里,尽快让攻击无效化。

概述

2023 GreyNoise 新增了 290 个标签,覆盖 242 个常见漏洞利用。其中,67 个标签在 CISA 的已知利用漏洞(KEV)目录中,23 个标签与勒索软件有关。

2023 年,社区查询了 1730 万次 GreyNoise GNQL 查询请求。排名前五的标签为:

  • Citrix Adc NetScaler Information Disclosure AttemptCVE-2023-4966

  • Huawei HG532 UPnP WormCVE-2017-17215

  • RealTek Miniigd UPnP WormCVE-2014-8361

  • GPON Router WormCVE-2018-10561

  • Netgear Command InjectionCVE-2016-6277

从频度来看,5.188.210.227 这个 IP 地址引起了很多人的关注:

2023 年 GreyNoise 在野大规模漏洞利用报告

年度漏洞:CVE-2023-34362

在 Progress 2023 5 31 日披露 CVE-2023-34362 前几周,攻击者就开始利用该漏洞进行攻击了,Cl0p 勒索软件团伙是最早利用该漏洞的攻击者之一。研究显示,该漏洞的受害者可能超过 2600 个组织,波及近 9000 万人。

2023 年 GreyNoise 在野大规模漏洞利用报告

年度漏洞:CVE-2023-4966

CVE-2023-4966(又称 CitrixBleed)针对Citrix NetScaler ADC NetScaler Gateway 允许攻击者绕过多因子认证劫持会话。包括 LockBit 勒索软件团伙在内的多个黑客组织已积极利用该漏洞,平均每天三十多个 IP 对外进行攻击。

2023 年 GreyNoise 在野大规模漏洞利用报告

年度漏洞:CVE-2023-27350

2023 4 月中旬 CVE-2023-27350 被发现,FBI 名为 Bl00dy 的勒索软件团伙也开始针对该漏洞进行攻击。

2023 年 GreyNoise 在野大规模漏洞利用报告

已知利用漏洞(KEV

CISA 的已知利用漏洞(KEV)列表旨在为美国政府内外部提供有针对性的主动威胁列表,值得防守者花时间进行优先修复的。67 个 GreyNoise 跟踪的标签,活动情况如下所示:

2023 年 GreyNoise 在野大规模漏洞利用报告

63% 的情况下 GreyNoise 发布标签都比 CISA 披露 KEV 清单要早。2023 年,CISA 增加了有哪些勒索软件攻击者利用该漏洞进行攻击的标签。目前,已有 20% KEV 被勒索软件团伙用于攻击。

2023 年 GreyNoise 在野大规模漏洞利用报告

国家冲突中的漏洞利用

俄乌冲突、巴以冲突等重大冲突,双方不仅局限在物理空间中进行对抗。相比物理空间中的范围可控,网络空间中的对抗往往会产生溢出效应。例如乌克兰安全局称俄罗斯黑客入侵摄像头,对基辅的防空系统和关键基础设施进行监控。乌克兰安全局已经拆除了近万台摄像头,“攻击者本打算利用这些摄像头调整对乌克兰的导弹袭击”。

2023 年 GreyNoise 在野大规模漏洞利用报告

另外,2023 12 月也有利用以色列生产的工控设备存在的漏洞攻击美国水务相关单位的事情发生。

国家视角数据

GreyNoise 重点介绍了沙特阿拉伯这个国家在 2023 10 月的数据情况。整个月,GreyNoise 发现了 52602 次针对沙特阿拉伯的攻击,以及沙特阿拉伯对其他国家/地区的 2204 次攻击。

攻击来源国家TOP 20 如下所示:

2023 年 GreyNoise 在野大规模漏洞利用报告

攻击源 IP 绝大多数都是来自 ISP 的:

2023 年 GreyNoise 在野大规模漏洞利用报告

从标签聚合来看,僵尸网络要承担较大责任。

2023 年 GreyNoise 在野大规模漏洞利用报告

对外发起的攻击,则主要流向了美国和英国。

2023 年 GreyNoise 在野大规模漏洞利用报告

沙特阿拉伯在 2007 年就通过了《反网络犯罪法》,制定了国家网络安全战略,并且成立了国家网络安全局(NCA)。如果政府发现沙特境内对外发起攻击,根据具体罪行严重情况,最高可能会处以一年监禁或 50 万沙特里亚尔(近 100 万人民币)的罚款

标签

GreyNoise 共支持 45 CWE 标签,如下七个标签就占据了 70% 的当量。

2023 年 GreyNoise 在野大规模漏洞利用报告

MITRE ATT&CK 标签也是一样,如下七个技术项占到了六成的比例。

2023 年 GreyNoise 在野大规模漏洞利用报告

2022 年 GreyNoise 在野大规模漏洞利用报告,可以参看以前的文章:

2022 年 GreyNoise 在野大规模漏洞利用报告

Avenger,公众号:威胁棱镜2022 年 GreyNoise 在野大规模漏洞利用报告

原文始发于微信公众号(威胁棱镜):2023 年 GreyNoise 在野大规模漏洞利用报告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月7日23:10:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2023 年 GreyNoise 在野大规模漏洞利用报告http://cn-sec.com/archives/2475499.html

发表评论

匿名网友 填写信息