以下是基于2024年零日漏洞利用日益频繁的现象,首席信息安全官和政企安全团队应该注意的一些最显著的趋势。每个趋势都非常重要,要么是因为其漏洞的严重性,要么是因为其攻击手段的创新性,要么是因为其对企业资产造成的实际影响。
1. 针对网络安全设备的零日攻击激增
今年,针对网络边缘设备的攻击活动急剧增加,包括 VPN 网关、防火墙、邮件安全网关和负载均衡系统等。这些设备由于其强大的功能、在网络中的特权位置以及其所有者对其底层代码和操作系统有限的可见性,成为了进入企业网络的理想入口点。
今年年初,一种 SSL VPN 和网络访问控制解决方案中出现了两个零日漏洞。其中一个漏洞,追踪编号为 CVE-2023-46805,允许攻击者绕过身份验证。第二个漏洞,CVE-2024-21887,允许在底层操作系统中进行命令注入。一个俄罗斯国家背景的攻击者将这两个漏洞组合成一个攻击链进行利用。
今年,针对以下产品的零日漏洞利用活动持续出现:
-
Citrix NetScaler ADC 和 NetScaler Gateway:
-
CVE-2023-6548:代码注入
-
CVE-2023-6549:缓冲区溢出
-
Ivanti Connect Secure:
-
CVE-2024-21893:服务器端请求伪造 (SSRF)
-
Cisco NX-OS 交换机:
-
CVE-2024-20399:命令行接口 (CLI) 命令注入
-
Versa Networks Director:
-
CVE-2024-39717: 任意文件上传和执行
-
Fortinet FortiManager:
-
CVE-2024-47575:缺失身份验证导致完全系统入侵
-
Palo Alto PAN-OS:
-
CVE-2024-0012:不当身份验证,与 CVE-2024-9474 链接,导致命令注入
2. 远程监控与管理系统仍是攻击者的重点目标
攻击者,尤其是为勒索软件团伙工作的初始访问代理人,习惯性地滥用远程监控和管理 (RMM) 产品来维持在企业网络中的持久性,同时也将其作为突破口入侵网络。
早在 2021 年,REvil 勒索软件团伙就利用了 Kaseya VSA 服务器(许多托管服务提供商 (MSP) 使用的远程管理平台)中的一个漏洞。在 2024 年 2 月,攻击者又利用了 ConnectWise ScreenConnect(另一款广泛使用的 RMM 工具)中的两个零日漏洞。
这两个漏洞,追踪编号分别为 CVE-2024-1708 和 CVE-2024-1709,分别是路径遍历问题和身份验证绕过漏洞。这些漏洞允许攻击者访问初始设置向导,并在该过程中重置管理员密码。通常情况下,设置向导应该只运行一次,并且在应用程序设置完成后就应该受到保护。
3. 托管文件传输系统成攻击新热点
众所周知,勒索软件团伙也经常以企业托管文件传输 (MFT) 软件作为入侵企业网络的初始入口。去年 12 月,攻击者开始利用 Cleo LexiCom、VLTrader 和 Harmony 这三款企业文件传输产品中的任意文件写入漏洞。
该漏洞,现在的追踪编号为 CVE-2024-55956,与去年 10 月在同一 Cleo 产品中修复的另一个漏洞(CVE-2024-50623)类似,后者允许任意文件写入和文件读取。然而,根据 Rapid7 研究人员的说法,即使它们位于代码库的同一部分,并且可以通过相同的端点访问,这些漏洞也是不同的,不需要链接利用。
攻击者可以利用 CVE-2024-55956 将恶意文件写入应用程序的 Autorun 目录,然后利用其内置功能执行该文件,并下载其他恶意软件载荷。
在 2023 年,数千家企业使用的 MFT 产品 MOVEit Transfer 中存在一个零日 SQL 注入漏洞 (CVE-2023-34362),被 Cl0p 勒索软件团伙利用,窃取了许多组织的数据。今年,同一产品中又发现了两个关键的身份验证绕过漏洞(CVE-2024-5806 和 CVE-2024-5805),引发了人们对新一轮漏洞利用浪潮的担忧,特别是考虑到勒索软件团伙之前已经针对 MFT 产品下手。
2023 年 1 月,Cl0p 团伙利用了 GoAnywhere MFT 中的一个零日远程代码执行漏洞 (CVE-2023-0669),并声称窃取了 130 个组织的数据;而在 2020 年,同一团伙的成员利用了 Accellion 文件传输设备 (CVE-2021-27101) 中的一个零日漏洞。
4. CI/CD 漏洞成为攻击者的“新宠”
攻击者也在积极寻找持续集成/持续交付 (CI/CD) 工具中的漏洞,因为这些工具不仅能提供进入企业网络的入口点(如果暴露在互联网上),还能提高攻击软件开发管道的可能性,从而导致软件供应链攻击。其中一个引人注目的攻击案例是 2020 年针对 SolarWinds 的 Orion 软件的后门植入事件,该软件被数万个私营组织和政府机构使用。
2024 年 1 月,研究人员在 Jenkins 中发现了一个路径遍历漏洞 (CVE-2024-23897),该漏洞可能导致代码执行。该漏洞被评为严重级别,源于该软件解析命令行界面 (CLI) 命令的方式。
尽管该漏洞在公开披露时就已经有补丁可用,因此并非零日漏洞,但攻击者还是迅速开始利用它,早在 3 月份就出现了该漏洞的利用迹象。8 月,美国网络安全和基础设施安全局 (CISA) 将该漏洞添加到其已知被利用的漏洞目录中,此前勒索软件团伙开始利用该漏洞入侵企业网络并窃取敏感数据。
今年攻击者利用的另一个 N 日 CI/CD 漏洞是 CVE-2024-27198,这是 JetBrains TeamCity(一种构建管理和持续集成服务器)中的身份验证绕过问题。该漏洞可能导致完全接管服务器和远程代码执行。
这并非攻击者首次针对 TeamCity 发起攻击。另一个身份验证绕过漏洞,于 2023 年 9 月被发现 (CVE-2023-42793),曾被朝鲜国家背景的黑客迅速利用,以入侵 Windows 环境。该漏洞在 2024 年也持续被其他攻击组织利用。
5. 供应链攻击事件频发
CI/CD 漏洞并非是攻击者入侵开发或构建环境,从而破坏源代码或植入后门的唯一途径。今年,一项历时数年的渗透活动被曝光,其中一名使用虚假身份的恶意开发者逐渐获得了某个开源项目的信任,并被添加为 XZ Utils 库(一个广泛使用的开源数据压缩库)的维护者。
这名名为贾坦(Jia Tan)的恶意开发者,慢慢地在 XZ Utils 代码中添加了一个后门,该后门与 SSH 交互,目的是在系统上打开未经授权的远程访问。这个后门是被偶然发现的,而且幸运的是,在木马化版本进入稳定的 Linux 发行版之前就被发现了。
该漏洞,追踪编号为 CVE-2024-3094,凸显了开源生态系统中供应链攻击的风险。在这个生态系统中,许多生产关键且广泛使用的软件库的项目都面临人手不足和资金不足的问题,并且很可能在没有太多审查的情况下就接受新开发者的帮助。
12 月,攻击者通过 GitHub Actions 利用脚本注入漏洞,破坏了 Ultralytics YOLO(一个开源 AI 库)的 PyPI 版本,并植入了后门。今年早些时候,这种利用 GitHub Actions CI/CD 服务不安全使用的脚本注入漏洞被记录下来,并且可能会影响到 GitHub 上托管的许多项目。
6. AI 淘金热引发新的攻击可能性
在争先恐后地测试和将 AI 聊天机器人和机器学习模型集成到业务流程中的过程中,各组织正在其云基础设施上部署各种 AI 相关的框架、库和平台,但往往配置不安全。除了配置错误之外,这些平台还可能存在漏洞,使攻击者能够访问敏感的知识产权,例如自定义 AI 模型和训练数据,或者至少为他们提供在底层服务器上的立足点。
Jupyter Notebooks(一种用于数据可视化、机器学习等基于 Web 的交互式计算平台)的实例经常成为僵尸网络的目标,这些僵尸网络会感染服务器并安装加密货币挖矿程序。Google 和 AWS 等云提供商都提供 Jupyter Notebooks 作为托管服务。
今年,Jupyter Notebooks 在其 Windows 版本中出现了一个漏洞 (CVE-2024-35178),该漏洞允许未经身份验证的攻击者泄露服务器运行所在的 Windows 用户的 NTLMv2 密码哈希值。如果破解了此密码,则可以使用该凭据在同一网络上的其他计算机上进行横向移动。
11 月,JFrog 的研究人员公布了他们对机器学习工具生态系统进行分析的结果,他们在 15 个不同的 ML 项目的服务器端和客户端组件中发现了 22 个漏洞。在 10 月早些时候,Protect AI 通过其漏洞赏金计划披露了开源 AI/ML 供应链中的 34 个漏洞。
这些研究工作强调,作为较新的项目,许多 AI/ML 框架在安全方面可能不够成熟,或者没有像其他类型的软件那样受到安全研究界的同等程度的审查。虽然这种情况正在发生变化,研究人员越来越多地检查这些工具,但恶意攻击者也在关注它们,而且似乎有足够多的漏洞等待他们去发现。
7. 安全功能绕过使攻击更具威力
尽管各组织应始终优先修复关键的远程代码执行漏洞,但值得记住的是,实际上,攻击者也会利用不太严重的漏洞,这些漏洞尽管不那么严重,但在其攻击链中仍然很有用,例如特权提升或安全功能绕过。
今年,攻击者利用了 Windows 中的五个不同的零日漏洞,这些漏洞允许他们在执行从互联网下载的文件时绕过 SmartScreen 提示:CVE-2024-38217、CVE-2024-38213、CVE-2024-29988、CVE-2024-21351 和 CVE-2024-21412。
Windows Defender SmartScreen 是 Windows 内置的文件信誉功能,它将带有被称为“来自网络的标记 (Mark-of-the-Web, MOTW)” 标志的文件视为可疑文件,因此会向用户显示更积极的警报。
任何可以绕过此功能的技术对于通过电子邮件附件或驱动器下载分发恶意软件的攻击者都非常有用。近年来,尤其是一些勒索软件团伙以发现和利用 SmartScreen 绕过技术而闻名。
允许当前用户执行的恶意代码在系统上获得管理级别特权的特权提升漏洞对于那些打算完全入侵系统的攻击者也很有用。今年,Windows 和 Windows Server 中报告的此类零日漏洞有 11 个,而 Windows 组件中的零日远程代码执行漏洞只有 5 个。
如果您觉得文章对您有所帮助,请您点赞+关注!
欢迎您加群讨论:安全技术交流、威胁情报分享讨论群!
评论