2024 年七大零日漏洞利用趋势

未修补的漏洞始终是危害企业系统的关键手段，但围绕某些零日漏洞的攻击者活动表明网络团队应该注意的关键趋势。

图片来源：Gorodenkoff / Shutterstock

零日漏洞在 2024 年再次出现大幅增长。由于没有可用的补丁，零日漏洞使攻击者比网络安全防御团队领先一大步，成为攻击企业系统的关键武器。

虽然所有零日漏洞对于 CISO 及其团队来说都是必不可少的，对于供应商来说也需要及时补救，但有些零日漏洞可以突出地表明攻击者为访问公司网络和数据而瞄准的产品类型的趋势。

根据今年零日漏洞利用率的上升，以下是 CISO 及其企业安全团队应该注意的一些最值得注意的趋势。每个趋势都很重要，因为它们至关重要、方法创新或对业务资产的实际影响。

1. 针对网络安全设备的零日攻击增多

今年，针对网络边缘设备（包括 VPN 网关、防火墙、电子邮件安全网关和负载平衡系统）的攻击急剧增加。这些设备功能强大、网络地位优越，而且所有者对其底层代码和操作系统的了解有限，因此成为企业网络的理想切入点。

今年年初，Ivanti Connect Secure 和 Ivanti Policy Secure（SSL VPN 和网络访问控制解决方案）中出现了两个零日漏洞。其中一个漏洞（编号为CVE-2023-46805）允许绕过身份验证。第二个漏洞（编号为CVE-2024-21887）允许在底层操作系统中注入命令。中国民族国家行为者将这两个漏洞组合成一个漏洞利用链。

今年，零日漏洞攻击继续发生：

• Citrix NetScaler ADC 和 NetScaler Gateway（CVE-2023-6548，代码注入；CVE-2023-6549，缓冲区溢出）
• Ivanti Connect Secure（CVE-2024-21893，服务器端请求伪造）
• Fortinet FortiOS SSL VPN（CVE-2024-21762，任意代码执行）
• Palo Alto Networks PAN-OS（CVE-2024-3400，命令注入）
• 思科自适应安全设备（CVE-2024-20359，任意代码执行；CVE-2024-20353，拒绝服务）
• Check Point Quantum 安全网关和 CloudGuard 网络安全（CVE-2024-24919，路径遍历导致信息泄露）
• 思科 NX-OS 交换机（CVE-2024-20399，CLI 命令注入）
• Versa Networks Director（CVE-2024-39717，任意文件上传和执行）
• Ivanti 云服务设备（CVE-2024-8963，路径遍历导致远程代码执行）
• Ivanti 云服务设备（CVE-2024-9381 ，与CVE-2024-8963关联的路径遍历）
• Ivanti 云服务设备（CVE-2024-9379 ，SQL 注入导致与CVE-2024-8963关联的应用程序接管）
• Ivanti 云服务设备（CVE-2024-9380 ，与CVE-2024-8963关联的操作系统命令注入）
• Fortinet FortiManager（CVE-2024-47575，缺少身份验证导致整个系统受到攻击）
• 思科自适应安全设备（CVE-2024-20481，远程访问 VPN 拒绝服务）
• Palo Alto PAN-OS（CVE-2024-0012，与CVE-2024-9474关联的不当身份验证，命令注入）

其他已知漏洞（已修复（N-days））也继续在未修补的网络边缘设备和设备中被利用，这使得这些系统成为 2024 年攻击者的主要目标之一，尤其是对于国家支持的网络间谍组织而言。

2. 远程监控和管理仍是一个成熟的目标

攻击者，尤其是为勒索软件团体工作的初始访问代理，习惯性地滥用远程监控和管理 (RMM) 产品来保持在公司网络上的持久性，同时也侵入它们。

早在 2021 年，REvil 勒索软件组织就利用了 Kaseya VSA 服务器中的漏洞，Kaseya VSA 服务器是许多托管服务提供商 (MSP) 使用的远程管理平台。2024 年 2 月，攻击者利用了另一种广泛使用的 RMM 工具ConnectWise ScreenConnect 中的两个零日漏洞。

这两个漏洞的编号分别为 CVE-2024-1708 和 CVE-2024-1709，是一个路径遍历问题和一个身份验证绕过问题。这些漏洞允许攻击者访问初始设置向导并在该过程中重置管理密码。通常，设置向导应该只运行一次，并且在应用程序设置完成后应受到保护。

3. 托管文件传输遭遇攻击

勒索软件团伙还以攻击企业管理文件传输 (MFT) 软件为目标，以获取对企业网络的初始访问权限。去年 12 月，攻击者开始利用 Cleo LexiCom、VLTrader 和 Harmony 这三款企业文件传输产品中的任意文件写入漏洞。

该漏洞目前被追踪为CVE-2024-55956，与 10 月份在同一 Cleo 产品中修补的另一个漏洞 ( CVE-2024-50623 ) 类似，该漏洞可实现任意文件写入和文件读取。然而，据 Rapid7 研究人员称，即使它们位于代码库的同一部分并且可以通过同一端点访问，这些漏洞也是不同的，不需要串联在一起。

攻击者可以利用 CVE-2024-55956 将恶意文件写入应用程序的自动运行目录，然后利用内置功能执行其文件并下载其他恶意软件负载。

2023 年，数千家企业使用的 MFT 产品 MOVEit Transfer 中存在一个零日 SQL 注入漏洞 ( CVE-2023-34362 )，该漏洞被 Cl0p 勒索软件团伙利用，窃取了多家组织的数据。今年，同一产品中又发现了两个严重的身份验证绕过漏洞 ( CVE-2024-5806 和 CVE-2024-5805 )，这引发了人们对新一波攻击即将来临的担忧，尤其是因为勒索软件团伙此前曾针对 MFT 产品发起攻击。

2023 年 1 月，Cl0p 团伙利用 GoAnywhere MFT 中的零日远程代码执行漏洞 ( CVE-2023-0669 )，声称窃取了 130 个组织的数据；而在 2020 年，同一组织的成员利用了 Accellion 文件传输设备中的零日漏洞 ( CVE-2021-27101 )。

4. CI/CD 缺陷对攻击者具有吸引力

攻击者还在寻找 CI/CD 工具中的漏洞，因为如果暴露在互联网上，这些漏洞不仅可以成为企业网络的切入点，而且还可能危及软件开发流程，从而导致软件供应链攻击。2020年，一次备受瞩目的攻击导致 SolarWinds 的 Orion 软件被植入后门，该软件被数万家私人组织和政府机构使用。

2024 年 1 月，研究人员发现Jenkins 中存在路径遍历漏洞( CVE-2024-23897 )，该漏洞可能导致代码执行。该漏洞被评为严重漏洞，源于该软件解析命令行界面 (CLI) 命令的方式。

尽管该漏洞在公开披露时已有补丁可用，因此并非零日漏洞，但攻击者很快就利用了该漏洞，因为早在 3 月份就有迹象表明该漏洞已被出售。8 月，在勒索软件团体开始利用该漏洞侵入企业网络并窃取敏感数据后，美国网络安全和基础设施安全局 (CISA) 将该漏洞添加到其已知被利用漏洞目录中。

攻击者今年利用的另一个 N-day CI/CD 漏洞是CVE-2024-27198，这是构建管理和持续集成服务器 JetBrains TeamCity 中的一个身份验证绕过问题。该漏洞可能导致完全服务器接管和远程代码执行。

这并不是攻击者第一次针对 TeamCity 发起攻击，另一个于 2023 年 9 月发现的身份验证绕过漏洞 ( CVE-2023-42793 ) 很快被朝鲜国家支持的黑客利用来破坏 Windows 环境，然后在 2024 年继续受到其他团体的攻击。

5. 供应链妥协比比皆是

CI/CD 漏洞并不是侵入开发或构建环境以破坏源代码或引入后门的唯一方法。今年，一场持续数年的渗透活动被揭露，其中一名使用虚假身份的恶意开发人员逐渐赢得了开源项目的信任，并被添加为 XZ Utils 库（一种广泛使用的开源数据压缩库）的维护者。

这位名为 Jia Tan 的流氓开发者慢慢地在 XZ Utils 代码中添加了一个后门，该后门与 SSH 交互，目的是在系统上打开未经授权的远程访问。这个后门是意外发现的 — 幸运的是，在木马版本进入稳定的 Linux 发行版之前。

该漏洞被追踪为CVE-2024-3094，凸显了开源生态系统中供应链攻击的风险，其中许多生成关键且广泛使用的软件库的项目人手不足、资金不足，并且很可能在没有经过严格审查的情况下接受新开发人员的帮助。

12 月，攻击者利用 GitHub Actions 中的脚本注入漏洞入侵并后门化了开源 AI 库 Ultralytics YOLO 的 PyPI 版本。此类脚本注入漏洞利用了 GitHub Actions CI/CD 服务的不安全使用，于今年早些时候被记录下来，可能会影响托管在 GitHub 上的许多项目。

6. 人工智能淘金热带来新的攻击可能性

为了急于测试并将 AI 聊天机器人和机器学习模型集成到业务工作流程中，组织正在其云基础架构上部署各种配置不安全的AI 相关框架、库和平台。除了配置错误之外，这些平台还可能存在漏洞，使攻击者能够访问敏感的知识产权，例如自定义 AI 模型和训练数据，或者至少为他们提供在底层服务器上的立足点。

Jupyter Notebooks 是一个基于 Web 的交互式计算平台，用于数据可视化、机器学习等。僵尸网络经常会利用加密货币挖矿程序感染服务器，而 Jupyter Notebooks 的实例正是此类攻击的目标。Google 和 AWS 等云提供商提供 Jupyter Notebooks 作为托管服务。

今年，Windows 版 Jupyter Notebooks 中存在一个漏洞 ( CVE-2024-35178 )，未经身份验证的攻击者可利用该漏洞泄露运行该服务器的 Windows 用户的 NTLMv2 密码哈希。如果该密码被破解，攻击者可利用该凭据对同一网络上的其他计算机进行横向移动。

11 月，JFrog 的研究人员公布了他们对机器学习工具生态系统的分析结果，发现 15 个不同的 ML 项目中存在 22 个漏洞，包括服务器端和客户端组件。10 月初，Protect AI 报告了开源 AI/ML 供应链中通过其漏洞赏金计划披露的34 个漏洞。

此类研究工作表明，作为较新的项目，许多 AI/ML 框架从安全角度来看可能还不够成熟，或者没有像其他类型的软件那样受到安全研究界同等程度的审查。虽然这种情况正在改变，但随着研究人员越来越多地研究这些工具，恶意攻击者也在研究它们，似乎还有足够多的漏洞等待他们发现。

7. 安全功能绕过使攻击更加有效

虽然组织在修补工作中应始终优先考虑关键的远程代码执行漏洞，但值得记住的是，在实践中，攻击者还会利用不太严重但对其攻击链有用的漏洞，例如权限提升或安全功能绕过。

今年，攻击者利用了 Windows 中的五个不同的零日漏洞，这些漏洞使他们能够在执行从互联网下载的文件时绕过 SmartScreen 提示： CVE-2024-38217、CVE-2024-38213、CVE-2024-29988、CVE-2024-21351和CVE-2024-21412。

Windows Defender SmartScreen 是 Windows 内置的文件信誉功能，它将带有“Web 标记 (MOTW)”标志的文件视为可疑文件，因此向用户显示更积极的警报。

任何能够绕过此功能的技术对于通过电子邮件附件或驱动下载分发恶意软件的攻击者来说都非常有用。近年来，勒索软件团体尤其擅长寻找和利用 SmartScreen 绕过技术。

特权升级漏洞允许当前用户执行恶意代码以获取系统管理员级别的特权，这对于想要全面入侵系统的攻击者来说也非常有用。今年，Windows 和 Windows Server 中共有 11 个此类零日漏洞被报告，而 Windows 组件中只有 5 个零日远程代码执行漏洞。

原文始发于微信公众号（HackTips）：2024 年七大零日漏洞利用趋势