paloalto:网络威胁趋势

  • A+
所属分类:安全新闻

  摘要


研究人员通过分析2020年8月至10月期间的流量数据,发现了一个有趣的网络威胁趋势尽管网络扫描和HTTP目录遍历攻击在不断激增但从2020年夏季开始CVE-2012-2311和CVE-2012-1823这两个最常被利用的漏洞已不再高居榜首。一些新的关键漏洞已经出现,包括但不限于CVE-2020-17496和CVE-2020-25213,并在2020年秋季迅速被攻击者利用更复杂的是,恶意攻击者很清楚,完成任务并不总是需要利用最新的漏洞。根据对指定恶意流量三个月的观察发现,CVE-2018-20062、CVE-2019-9082等ThinkPHP武器化漏洞已成为攻击者最喜欢的新攻击方式。此外,在确定了每个网络攻击的发源地后,paloalto的研究人员发现,迄今为止,来自美国的攻击数量最多。



这些攻击有多严重? 



在3092,127个经过验证的攻击会话中,有656个独立的威胁触发

paloalto:网络威胁趋势

图1. 2020年8月至10月攻击严重程度分布

paloalto的研究人员仅将严重性等级高于中等(基于CVSS v3分数)的可利用漏洞作为经过验证的攻击。表1显示了不同漏洞级别攻击的会话数及攻击次数所占比例。

严重程度

会话数

比率

危急

1,559,512

50.4%

1,317,901

42.6%

214,714

6.9%

表1. 2020年8月至10月的攻击严重程度分布比率

如表1所示,具有高严重级别漏洞利用呈上升趋势。除了漏洞本身危害大之外,更在于攻击者将这些流行软件的利用工具武器化。



 最新漏洞top5


以下五种攻击是paloalto的研究人员监视过的所有严重攻击中最有趣的。这些漏洞已被媒体广泛报道,因为它们在补丁发布之前就已经被滥用,或者在发布安全公告后不久就被滥用。除此之外,这些攻击进入前五类攻击的原因是它们严重性级别和它们在2020年的被利用频率。这些迹象表明,攻击者能够迅速有效地调整新工具和战术来攻击他们的目标。根据8 - 10月发生的80528起与新攻击有关的事件,paloalto的研究人员将下面的漏洞列为其捕获的最新五大漏洞。

1. vBulletin远程代码执行漏洞

  • CVE编号:CVE-2020-17496

  • 严重程度:严重

paloalto的研究人员捕获了与vBulletin远程代码执行漏洞相关的恶意会话。由于此软件被广泛使用,因此影响较大。paloalto在2020年9月发布了有关CVE-2020-17496的研究

2. WordPress文件管理插件远程代码执行漏洞

  • CVE编号:CVE-2020-25213

  • 严重程度:严重

WordPress在wp-file-manager插件中有一个远程代码执行漏洞,它可以将任意PHP代码写入特定的目录。

3.Nette代码注入漏洞

  • CVE编号:CVE-2020-15227

  • 严重程度:严重

Nette是一个PHP/Composer MVC框架,容易受到带有特定URL参数的代码注入攻击。此漏洞非常严重,它将导致远程代码执行。

4. Artica Web代理SQL注入漏洞

  • CVE编号:CVE-2020-17506

  • 严重程度:严重

Artica Web Proxy是一个防火墙软件,容易受到fw.login.php中的api键参数的SQL注入的攻击。该漏洞可以绕过Artica,通过SQL注入漏洞获得管理员权限。

5. Oracle WebLogic服务器远程代码执行漏洞

  • CVE编号:CVE-2020-14882CVE-2020-14883 ; CVE-2020-14750

  • 严重程度:严重

Oracle WebLogic Server有一个远程代码执行漏洞,该漏洞可能会导致严重的安全问题。此漏洞利用的技术要求低,因此较容易被利用。



  漏洞利用频率top10


表2中显示了从2020年8月至10月来利用次数最多的漏洞。


CVE编号

漏洞

1

CVE-2017-9841

PHPUnit远程代码执行漏洞

2

CVE-2019-9082

ThinkPHP远程代码执行漏洞

3

CVE-2019-12725

Zeroshell远程命令执行漏洞

4

CVE-2019-16759

vBulletin远程代码执行漏洞

5

CVE-2018-19986,CVE-2019-19597

D-Link远程命令执行漏洞

6

CVE-2018-10561,CVE-2018-10562

GPON家用路由器远程代码执行漏洞

7

CVE-2020-17496

vBulletin远程代码执行漏洞

8

CVE-2018-20062

ThinkPHP远程代码执行漏洞

9

CVE-2018-7600

Drupal核心远程代码执行漏洞

10

CVE-2020-15415,CVE-2020-14472,CVE-2020-8515

DrayTek Vigor远程命令注入漏洞

表2. 2020年8月至10月的top CVE

1. PHPUnit远程代码执行漏洞

CVE-2017-9841

/vendor端点的暴露使远程攻击者可以在目标上执行任意PHP代码。此漏洞影响4.8.28之前的所有4.x版本和5.6.3之前的5.x版本。

2. ThinkPHP远程代码执行漏洞

CVE-2019-9082

由于缺乏输入验证,ThinkPHP框架中存在一个远程执行代码漏洞。版本低于3.2.4的ThinkPHP框架由于对URL中的控制器名称检查不足而存在远程命令执行漏洞

3. Zeroshell远程命令执行漏洞

CVE-2019-12725

ZeroShell 3.9.0版中存在一个远程执行代码漏洞。通过用换行符包装有效负载并将结果有效负载放在x590type HTTP参数中,攻击者可以在受害者的计算机上实现任意代码执行。

4. vBulletin远程代码执行漏洞

CVE-2019-16759

由于缺少对HTTP参数widgetConfig 的验证,vBulletin版本5.0.0至5.5.4容易受到远程命令,存在远程命令执行漏洞。

5. D-Link远程命令执行漏洞

CVE-2018-19986

由于HTTP参数RemotePort的验证不足,D-Link DIR-818LW Rev.A 2.05.B03和DIR-822 B1 202KRb06设备都容易受到命令注入漏洞的影响。攻击者可以注入Shell元字符并实现任意命令执行。

CVE-2019-19597

由于HNAP_Auth HTTP报头值中的输入清理不够,D-Link DAP-1860设备中存在一个远程命令执行漏洞。攻击者可以注入Shell元字符并实现任意代码执行。

6. GPON家用路由器远程代码执行漏洞

CVE-2018-10561

存在此漏洞的Dasan GPON路由器容易受到绕过身份验证的影响,因为它们无法正确处理URL。此漏洞通常与CVE-2018-10562结合使用,以最大程度地发挥影响。

CVE-2018-10562

DasanGPON路由器中存在一个命令注入漏洞。易受攻击的版本如果不清除dest_host参数,将导致可怕的后果。路由器将ping结果保存在/tmp中,并诱使用户重新访问它。

7. vBulletin远程代码执行漏洞

CVE-2020-17496

在vBulletin 5.5.4至5.6.2中存在一个远程命令执行漏洞。攻击者可精心构造subWidgets数据,通过ajax/render/widget_tabbedcontainer_tab_panel请求触发漏洞。

注意:由于CVE-2019-16759修补程序不完整而存在此问题。

8. ThinkPHP远程代码执行漏洞

CVE-2018-20062

filter HTTP参数中的特制值可以导致在ThinkPHP框架中的任意代码执行。此错误影响<= 5.0.23的版本。

9. Drupal核心远程代码执行漏洞

CVE-2018-7600

由于会影响多个子系统的问题,Drupal允许远程攻击者执行任意代码。这是由模块配置错误引起的。

10. DrayTek Vigor远程命令注入漏洞

CVE-2020-15415

在1.5.1之前的DrayTek Vigor3900,Vigor2960和Vigor300B设备上,当使用text / x-python-script内容类型时,通过cgi-bin/mainfunction.cgi/cvmcfgupload的Shell元字符允许以文件名远程执行命令。

CVE-2020-14472

1.5.1.1之前的Draytek Vigor3900,Vigor2960和Vigor 300B设备的mainfunction.cgi文件中存在一些命令注入漏洞。

CVE-2020-8515

DrayTek Vigor2960 1.3.1_Beta,Vigor3900 1.4.4_Beta,Vigor300B 1.3.3_Beta,1.4.2.1_Beta和1.4.4_Beta允许以root用户身份通过Shell元字符以远程身份执行代码到cgi-bin / mainfunction.cgi URI,而无需身份验证。



  无CVE编号的漏洞top5


除了特定CVE编号的漏洞外,paloalto的研究人员还捕获了其他频繁出现的漏洞。以下是前五名:

  1. ThinkCMF本地文件包含漏洞。

ThinkCMF中存在一个文件包含漏洞,该漏洞也可能导致远程代码执行。此漏洞影响<=2.2.3的ThinkCMF版本。

  1. D-Link DSL-2750B OS命令注入漏洞。

D-Link DSL-2750B路由器容易受到命令注入漏洞的攻击,Mirai及其变种经常会滥用该漏洞进行感染和传播

  1. MVPower DVR未经身份验证的命令执行漏洞。

Mirai及其变种可利用MVPower DVR设备中的此命令执行漏洞来进行感染。

  1. Zyxel EMG2926路由器命令注入漏洞。

Zyxel EMG2926路由器缺少参数验证功能,导致远程命令执行。这也是Mirai恶意软件利用的漏洞之一。

  1. Netgear DGN设备远程命令执行。

此漏洞为未经身份验证的远程命令执行漏洞,原因是setup.cgi的syscmd函数缺少输入清除功能。Netgear DGN设备DGN1000(对于固件版本<1.1.00.48的设备)和DGN2200 v1中存在此漏洞。



  攻击类别分布


paloalto:网络威胁趋势


图2. 2020年8月至10月的攻击类别分布

图2显示了攻击类别分布。46.9%的攻击是代码执行,这意味着这类攻击仍然代表网络的高风险漏洞。14.6%的攻击可以被认为是特权提升,12.4%是信息泄露,这意味着攻击者不断尝试获得更大的访问权限,并建立一个利用链,从而进行更强大的攻击,如代码执行。



  HTTP目录遍历攻击


2020年初夏所观察到的相反,paloalto的研究人员发现了利用HTTP目录遍历漏洞的大规模攻击尝试(大约50万次)。虽然这类攻击是网络流量中最常见的恶意行为之一,但在现实生活中,如此大流量的攻击仍然很少见。

这里列出了目录遍历攻击最多的前10个目标端口。大多数利用尝试都针对广泛使用的HTTP端口号80(86.6%)和8080(2.4%)。paloalto:网络威胁趋势

图3.2020年8月来HTTP目录遍历攻击受害者端口分布。


- End -


本文为CNTIC编译,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“论坛信息”可见。


原文链接:

https://unit42.paloaltonetworks.com/network-attack-trends-internet-threats/

原文标题:Network Attack Trends: Internet of Threats

编译:CNTIC情报组


paloalto:网络威胁趋势

本文始发于微信公众号(国家网络威胁情报共享开放平台):paloalto:网络威胁趋势

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: