研究人员通过分析2020年8月至10月期间的流量数据,发现了一个有趣的网络威胁趋势。尽管网络扫描和HTTP目录遍历攻击在不断激增,但从2020年夏季开始,CVE-2012-2311和CVE-2012-1823这两个最常被利用的漏洞已不再高居榜首。一些新的关键漏洞已经出现,包括但不限于CVE-2020-17496和CVE-2020-25213,并在2020年秋季迅速被攻击者利用。更复杂的是,恶意攻击者很清楚,完成任务并不总是需要利用最新的漏洞。根据对指定恶意流量三个月的观察发现,CVE-2018-20062、CVE-2019-9082等ThinkPHP武器化漏洞已成为攻击者最喜欢的新攻击方式。此外,在确定了每个网络攻击的发源地后,paloalto的研究人员发现,迄今为止,来自美国的攻击数量最多。
在3092,127个经过验证的攻击会话中,有656个独立的威胁触发点。
图1. 2020年8月至10月攻击严重程度分布
paloalto的研究人员仅将严重性等级高于中等(基于CVSS v3分数)的可利用漏洞作为经过验证的攻击。表1显示了不同漏洞级别攻击的会话数及攻击次数所占比例。
|
严重程度 |
会话数 |
比率 |
|
危急 |
1,559,512 |
50.4% |
|
高 |
1,317,901 |
42.6% |
|
中 |
214,714 |
6.9% |
表1. 2020年8月至10月的攻击严重程度分布比率
如表1所示,具有高严重级别漏洞利用呈上升趋势。除了漏洞本身危害大之外,更在于攻击者将这些流行软件的利用工具武器化。
以下五种攻击是paloalto的研究人员监视过的所有严重攻击中最有趣的。这些漏洞已被媒体广泛报道,因为它们在补丁发布之前就已经被滥用,或者在发布安全公告后不久就被滥用。除此之外,这些攻击进入前五类攻击的原因是它们严重性级别和它们在2020年的被利用频率。这些迹象表明,攻击者能够迅速有效地调整新工具和战术来攻击他们的目标。根据8 - 10月发生的80528起与新攻击有关的事件,paloalto的研究人员将下面的漏洞列为其捕获的最新五大漏洞。
1. vBulletin远程代码执行漏洞
-
CVE编号:CVE-2020-17496
-
严重程度:严重
paloalto的研究人员捕获了与vBulletin远程代码执行漏洞相关的恶意会话。由于此软件被广泛使用,因此影响较大。paloalto在2020年9月发布了有关CVE-2020-17496的研究。
2. WordPress文件管理插件远程代码执行漏洞
-
CVE编号:CVE-2020-25213
-
严重程度:严重
WordPress在wp-file-manager插件中有一个远程代码执行漏洞,它可以将任意PHP代码写入特定的目录。
3.Nette代码注入漏洞
-
CVE编号:CVE-2020-15227
-
严重程度:严重
Nette是一个PHP/Composer MVC框架,容易受到带有特定URL参数的代码注入攻击。此漏洞非常严重,它将导致远程代码执行。
4. Artica Web代理SQL注入漏洞
-
CVE编号:CVE-2020-17506
-
严重程度:严重
Artica Web Proxy是一个防火墙软件,容易受到fw.login.php中的api键参数的SQL注入的攻击。该漏洞可以绕过Artica,通过SQL注入漏洞获得管理员权限。
5. Oracle WebLogic服务器远程代码执行漏洞
-
CVE编号:CVE-2020-14882;CVE-2020-14883 ; CVE-2020-14750
-
严重程度:严重
Oracle WebLogic Server有一个远程代码执行漏洞,该漏洞可能会导致严重的安全问题。此漏洞利用的技术要求低,因此较容易被利用。
表2中显示了从2020年8月至10月来利用次数最多的漏洞。
|
CVE编号 |
漏洞 |
|
|
1 |
CVE-2017-9841 |
PHPUnit远程代码执行漏洞 |
|
2 |
CVE-2019-9082 |
ThinkPHP远程代码执行漏洞 |
|
3 |
CVE-2019-12725 |
Zeroshell远程命令执行漏洞 |
|
4 |
CVE-2019-16759 |
vBulletin远程代码执行漏洞 |
|
5 |
CVE-2018-19986,CVE-2019-19597 |
D-Link远程命令执行漏洞 |
|
6 |
CVE-2018-10561,CVE-2018-10562 |
GPON家用路由器远程代码执行漏洞 |
|
7 |
CVE-2020-17496 |
vBulletin远程代码执行漏洞 |
|
8 |
CVE-2018-20062 |
ThinkPHP远程代码执行漏洞 |
|
9 |
CVE-2018-7600 |
Drupal核心远程代码执行漏洞 |
|
10 |
CVE-2020-15415,CVE-2020-14472,CVE-2020-8515 |
DrayTek Vigor远程命令注入漏洞 |
表2. 2020年8月至10月的top CVE
1. PHPUnit远程代码执行漏洞
CVE-2017-9841
/vendor端点的暴露使远程攻击者可以在目标上执行任意PHP代码。此漏洞影响4.8.28之前的所有4.x版本和5.6.3之前的5.x版本。
2. ThinkPHP远程代码执行漏洞
CVE-2019-9082
由于缺乏输入验证,ThinkPHP框架中存在一个远程执行代码漏洞。版本低于3.2.4的ThinkPHP框架由于对URL中的控制器名称检查不足而存在远程命令执行漏洞。
3. Zeroshell远程命令执行漏洞
CVE-2019-12725
ZeroShell 3.9.0版中存在一个远程执行代码漏洞。通过用换行符包装有效负载并将结果有效负载放在x590type HTTP参数中,攻击者可以在受害者的计算机上实现任意代码执行。
4. vBulletin远程代码执行漏洞
CVE-2019-16759
由于缺少对HTTP参数widgetConfig 的验证,vBulletin版本5.0.0至5.5.4容易受到远程命令,存在远程命令执行漏洞。
5. D-Link远程命令执行漏洞
CVE-2018-19986
由于HTTP参数RemotePort的验证不足,D-Link DIR-818LW Rev.A 2.05.B03和DIR-822 B1 202KRb06设备都容易受到命令注入漏洞的影响。攻击者可以注入Shell元字符并实现任意命令执行。
CVE-2019-19597
由于HNAP_Auth HTTP报头值中的输入清理不够,D-Link DAP-1860设备中存在一个远程命令执行漏洞。攻击者可以注入Shell元字符并实现任意代码执行。
6. GPON家用路由器远程代码执行漏洞
CVE-2018-10561
存在此漏洞的Dasan GPON路由器容易受到绕过身份验证的影响,因为它们无法正确处理URL。此漏洞通常与CVE-2018-10562结合使用,以最大程度地发挥影响。
CVE-2018-10562
DasanGPON路由器中存在一个命令注入漏洞。易受攻击的版本如果不清除dest_host参数,将导致可怕的后果。路由器将ping结果保存在/tmp中,并诱使用户重新访问它。
7. vBulletin远程代码执行漏洞
CVE-2020-17496
在vBulletin 5.5.4至5.6.2中存在一个远程命令执行漏洞。攻击者可精心构造subWidgets数据,通过ajax/render/widget_tabbedcontainer_tab_panel请求触发漏洞。
注意:由于CVE-2019-16759的修补程序不完整而存在此问题。
8. ThinkPHP远程代码执行漏洞
CVE-2018-20062
filter HTTP参数中的特制值可以导致在ThinkPHP框架中的任意代码执行。此错误影响<= 5.0.23的版本。
9. Drupal核心远程代码执行漏洞
CVE-2018-7600
由于会影响多个子系统的问题,Drupal允许远程攻击者执行任意代码。这是由模块配置错误引起的。
10. DrayTek Vigor远程命令注入漏洞
CVE-2020-15415
在1.5.1之前的DrayTek Vigor3900,Vigor2960和Vigor300B设备上,当使用text / x-python-script内容类型时,通过cgi-bin/mainfunction.cgi/cvmcfgupload的Shell元字符允许以文件名远程执行命令。
CVE-2020-14472
1.5.1.1之前的Draytek Vigor3900,Vigor2960和Vigor 300B设备的mainfunction.cgi文件中存在一些命令注入漏洞。
CVE-2020-8515
DrayTek Vigor2960 1.3.1_Beta,Vigor3900 1.4.4_Beta,Vigor300B 1.3.3_Beta,1.4.2.1_Beta和1.4.4_Beta允许以root用户身份通过Shell元字符以远程身份执行代码到cgi-bin / mainfunction.cgi URI,而无需身份验证。
除了特定CVE编号的漏洞外,paloalto的研究人员还捕获了其他频繁出现的漏洞。以下是前五名:
-
ThinkCMF本地文件包含漏洞。
ThinkCMF中存在一个文件包含漏洞,该漏洞也可能导致远程代码执行。此漏洞影响<=2.2.3的ThinkCMF版本。
-
D-Link DSL-2750B OS命令注入漏洞。
D-Link DSL-2750B路由器容易受到命令注入漏洞的攻击,Mirai及其变种经常会滥用该漏洞进行感染和传播。
-
MVPower DVR未经身份验证的命令执行漏洞。
Mirai及其变种可利用MVPower DVR设备中的此命令执行漏洞来进行感染。
-
Zyxel EMG2926路由器命令注入漏洞。
Zyxel EMG2926路由器缺少参数验证功能,导致远程命令执行。这也是Mirai恶意软件利用的漏洞之一。
-
Netgear DGN设备远程命令执行。
此漏洞为未经身份验证的远程命令执行漏洞,原因是setup.cgi的syscmd函数缺少输入清除功能。Netgear DGN设备DGN1000(对于固件版本<1.1.00.48的设备)和DGN2200 v1中存在此漏洞。
图2. 2020年8月至10月的攻击类别分布
图2显示了攻击类别分布。46.9%的攻击是代码执行,这意味着这类攻击仍然代表网络的高风险漏洞。14.6%的攻击可以被认为是特权提升,12.4%是信息泄露,这意味着攻击者不断尝试获得更大的访问权限,并建立一个利用链,从而进行更强大的攻击,如代码执行。
与2020年初夏所观察到的相反,paloalto的研究人员发现了利用HTTP目录遍历漏洞的大规模攻击尝试(大约50万次)。虽然这类攻击是网络流量中最常见的恶意行为之一,但在现实生活中,如此大流量的攻击仍然很少见。
这里列出了目录遍历攻击最多的前10个目标端口。大多数利用尝试都针对广泛使用的HTTP端口号80(86.6%)和8080(2.4%)。
图3.2020年8月来HTTP目录遍历攻击受害者端口分布。
- End -
本文为CNTIC编译,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“论坛信息”可见。
原文链接:
https://unit42.paloaltonetworks.com/network-attack-trends-internet-threats/
原文标题:Network Attack Trends: Internet of Threats
编译:CNTIC情报组
本文始发于微信公众号(国家网络威胁情报共享开放平台):paloalto:网络威胁趋势
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论