利用已知和未修补的漏洞仍然是威胁行为者惯用的一种策略。从安全绕过、凭据暴露到远程代码执行,软件漏洞始终是网络攻击者入侵系统的有力武器。
虽然在今年的破坏活动中出现了一些新身影,例如活动目录和MOVEit文件传输应用程序中发现的新漏洞,以及AlienFox工具包或IceFire勒索软件活动中使用的漏洞等,但迄今为止,已知的一些漏洞在滥用频率方面仍然保持强劲势头。
在本篇文章中,我们深入研究了CISA最新发布的“2022年最常被利用的12个漏洞”名单,这些漏洞将继续对企业业务构成重大威胁。
1. Fortinet FortiOS & FortiProxy漏洞(CVE-2018-13379)
Fortinet FortiOS SSL VPN主要用于边界防火墙,通过将敏感的内部网络与公共互联网隔离开来发挥作用。CVE-2018-13379作为一个特别严重的路径遍历漏洞,允许APT参与者使用特制的HTTP资源请求来窃取合法凭证,连接到未打补丁的VPN并下载系统文件。尽管CVE-2018-13379早在2019年就发布了补丁,但在过去三年中,CVE-2018-13379多次卷土重来,目标锁定在政府、商业和技术服务网络等领域。
2020年,一名黑客利用该漏洞从近5万台Fortinet VPN设备窃取了VPN凭证。安全研究人员当时指出,在这5万个域名中,超过40个属于知名的金融和政府组织。当年晚些时候,这个漏洞再次出现;这一次是被政府支持的行为者利用,试图破坏美国选举支持系统。在这次活动中,CVE-2018-13379与其他攻击链接在一起,以利用暴露在互联网上的服务器并获得访问权限。该漏洞在2021年再次出现,当时通过利用CVE-2018-13379获得的Fortigate SSL VPN设备的87,000组凭据在线泄露。
这些关键的漏洞对威胁行为者来说仍然是有利可图的。用户群越大,潜在的目标就越多,这就增加了对攻击者的吸引力。由于它们的频繁滥用,FBI和CISA已经发布了一份联合警告,警告Fortinet的用户和管理员提防高级持续威胁(APT)攻击者积极利用现有和未来的关键VPN漏洞。这些漏洞极有可能继续被用于在脆弱的环境中获得最初的立足点,作为未来攻击的跳板。
2—4. Microsoft Exchange Server(CVE-2021-34473、CVE-2021-31207、CVE-2021-34523)
Microsoft Exchange Server是一个流行的电子邮件和支持系统,适用于全球组织,既可以部署在本地,也可以部署在云中。时至今日,在未打补丁的Microsoft Exchange Server本地版本中发现的一系列漏洞仍在面向互联网的服务器上被积极利用。
这一系列漏洞被统称为“ProxyShell”,包括CVE-2021-34473、CVE-2021-31207和CVE-2021-34523,影响多个版本的本地Microsoft Exchange服务器。ProxyShell以未打补丁的Exchange服务器为目标,实现预认证的远程代码执行(RCE)。在这三个漏洞中,CVE-2021-34473的CVSS得分最高,为9.1。虽然其余的漏洞最初被归类为“不太可能被利用”,但当它们与CVE-2021-34473结合使用时,就会给攻击者带来巨大的价值。总之,ProxyShell允许攻击者在端口443的易受攻击的Exchange服务器上执行任意命令。
这三个漏洞都在2021年得到了修补,但安全研究人员目前正在追踪几个已知利用ProxyShell漏洞的未分类威胁(UNC)组织,同时预测随着未来几代威胁参与者采用有效漏洞,会出现更多集群。在一个被追踪为UNC2980的特定威胁活动集群中,Mandiant的研究人员观察到,ProxyShell漏洞被用于一次网络间谍活动中。在这次行动中,UNC2980通过利用ProxyShell获得访问权限并部署web shell后,将多个工具投放到美国大学的系统环境中。在通过ProxyShell进行攻击后,攻击者使用公开可用的工具(如Mimikatz、HTRAN和EarthWorm)进行攻击后活动。
5. 微软各种产品(CVE-2022-30190)
被称为“Follina”的CVE-2022-30190是一个严重的RCE漏洞,影响多个Microsoft Office产品。Follina允许攻击者在说服用户打开恶意Word文档或任何其他处理URL的向量后,执行任意代码。由于大量未打补丁的Microsoft Office产品可用,Follina持续出现在各种网络攻击中。
已知威胁行为者通过网络钓鱼骗局利用Follina漏洞,使用社会工程技术诱骗用户打开恶意Office文档。当用户在Office应用程序中遇到嵌入式链接时,这些链接将被自动获取,从而触发Microsoft Support Diagnostic Tool(MSDT)协议的执行。MSDT(MSDT .exe)是一项微软服务,主要用于收集系统崩溃信息,以便向微软支持部门报告。然而,威胁行为者可以通过制作链接来利用此协议强制执行恶意PowerShell命令,而无需任何进一步的用户交互。这带来了严重的安全风险,因为它允许攻击者通过看似无害的链接在目标系统上远程执行未经授权的命令。
最近,Follina漏洞被用作零日漏洞来支持针对关键行业组织的威胁活动。从2022年3月到5月,一个被追踪为UNC3658的活动集群利用Follina攻击菲律宾政府。同年4月,UNC3347针对南亚电信实体和商业服务的运动中出现了更多的Follina样本。第三个名为UNC3819的集群也使用CVE-2022-30190攻击俄罗斯和白俄罗斯的组织。
6. Zoho ManageEngine ADSelfService Plus漏洞(CVE-2021-40539)
2021年底,Zoho ManageEngine ADSelfService Plus软件中一个已修补的关键漏洞,导致国防、医疗、能源、技术和教育领域的至少9家实体遭到攻击。据悉,该产品为Active Directory和云应用程序提供了全面的自助密码管理和单点登录(SSO)解决方案,旨在允许管理员对安全的应用程序登录实施双因素身份验证(2FA),同时授予用户自主重置密码的能力。
该漏洞被追踪为CVE-2021-40539,允许威胁行为者获得对受害组织系统的初始访问权限。CVE-2021-40539(CVSS评分9.8)是一个身份验证绕过漏洞,影响可用于RCE的REST API URL。作为回应,CISA发布了一个关于零日漏洞的警告,告知用户攻击者如何利用该漏洞部署web shell以进行“利用后”(post-exploitation)活动,例如窃取管理员凭据,进行横向移动,以及泄露注册表和活动目录(AD)文件。
AD和云应用程序的SSO解决方案中的漏洞尤为严重。如果这些漏洞被成功利用,攻击者基本上可以通过AD访问企业网络深处的关键应用程序、敏感数据和其他区域。
【CVE-2021-40539漏洞分析流程图(来源:Zoho)】
最近,在针对红十字国际委员会(ICRC)的攻击中也发现了利用CVE-2021-40539的漏洞。红十字会在声明中承认,他们错过了可以保护自身免受攻击的关键补丁,强调了维护一个强大的补丁管理流程的重要性。由于这次袭击,参与红十字国际委员会“重建家庭联系”(Restoring Family Links)项目的51.5万多人的姓名、地点和联系信息遭到泄露。
7—8. Atlassian Confluence服务器和数据中心(CVE-2021-26084、CVE-2022-26134)
许多政府和私营企业使用的协作和文档平台Atlassian Confluence同样备受威胁行为者青睐。此次入围的CVE-2021-26084和CVE-2022-26134两个漏洞都与对象图导航语言(OGNL)注入有关。
CVE-2021-26084的首次大规模利用发生在2021年9月,目标是广受欢迎的基于web的文档服务。Confluence平台旨在允许多个团队在共享项目上进行协作。恶意行为者可以利用命令注入漏洞CVE-2021-26084在Confluence服务器或数据中心实例上执行任意代码。攻击者基本上拥有与运行服务的用户相同的权限,因此能够执行任何命令,获得提升的管理权限,并在环境中建立立足点。CISA发布了一份建议,指导用户和管理员检查Atlassian的更新,以防止被入侵。
仅仅9个月后,Atlassian又发布了针对Confluence服务器和数据中心的另一个OGNL注入漏洞。该漏洞被跟踪为CVE-2021-26134,它允许未经身份验证的攻击者在所有受支持的Confluence数据中心和服务器版本中执行任意代码。在最初披露的一周内,概念验证(PoC)发布后,这个关键级别的漏洞迅速成为被利用最多的漏洞之一。在这种情况下,CVE-2021-26134被用来在服务器上实现未经身份验证的RCE,然后投置一个Behinder web shell。Behinder web shell赋予了恶意行为者非常强大的功能,例如与Meterpreter和Cobalt Strike的交互以及仅限内存(memory-only)的web shell。
根据Atlassian网站所示,该公司支持83%的《财富》500强公司,每月有1000万活跃用户,在190多个国家拥有超过23.5万用户。这两个基于Atlassian的CVE展示了出于经济动机的威胁行为者如何不断利用漏洞同时攻击许多有吸引力的目标。
9. Log4Shell(CVE- 2021 - 44228)
Log4shell被追踪为CVE-2021-44228,也被称为“Log4j漏洞”,是在Apache Log4j(一个流行的基于java的日志库,广泛用于各种应用程序)中发现的最严重的RCE漏洞。该漏洞允许远程攻击者在受影响的系统上执行任意代码,从而导致未经授权的访问、数据泄露,甚至危及整个系统。
该漏洞于2021年12月被首次公开披露,究其原因是在“log4j2”组件的查找机制中使用了不受信任的数据,使攻击者能够通过精心制作的日志消息注入恶意代码。这个缺陷暴露了各种各样的应用程序,包括web服务器、企业软件和基于云的服务,它们都依赖于Log4j进行日志记录。
尽管Apache很快发布了10.0级RCE漏洞的补丁,但安全专家确认,鉴于其在主要供应商中的广泛使用,该漏洞利用将继续进行,并可能导致广泛的恶意软件部署。此后,CISA发布了一项具有约束力的操作指令(BOD),命令联邦民事行政部门(FCEB)机构修补他们的系统,以应对这一关键漏洞。
Log4shell的快速利用归功于它在不同行业和平台上的广泛部署。更重要的是,修补漏洞已被证明极具挑战性,因为许多组织难以及时识别和更新其基础设施中的所有Log4j实例。
10—11. VMware Workspace ONE访问和身份管理器(CVE-2022-22954、CVE-2022-22960)
VMware是一款流行的虚拟化软件,它经常沦为包括APT组织在内的各级网络攻击者的目标。利用VMware的漏洞可以授权对平台上托管的虚拟机和关键数据进行未经授权的访问。由于VMware在单个物理服务器上虚拟化多个系统,因此成功的攻击可能同时危及多个虚拟机。通常,攻击者选择瞄准VMware环境是为了在更大的网络中获得立足点,利用虚拟化基础设施的信任和可访问性。VMware的漏洞在CISA今年的漏洞排行榜上占据了两个位置。
首先,CVE-2022-22954(CVSS评分9.8)是一个服务器端模板注入漏洞,可以被具有网络访问权限的恶意行为者触发,从而在VMware的Workspace ONE access & Identity Manager中实现RCE。该漏洞的PoC在去年春天发布后,安全研究人员就发现它被用于主动攻击,感染了带有挖矿机的服务器。
其次,CVE-2022-22960是一个特权升级漏洞。根据CISA关于此漏洞的建议,由于支持脚本中的权限不正确,它使具有本地访问权限的恶意行为者能够将特权升级为root。如果与CVE-2022-22954链接在一起,攻击者可以作为VMware用户执行任意shell命令,然后擦除日志,升级权限,并横向移动到具有root访问权限的其他系统。
12. F5Networks BIG-IP(CVE-2022-1388)
去年9月,F5发布了一个与BIG-IP产品套件相关的关键RCE漏洞补丁,几天后,安全研究人员就能够针对该漏洞创建一个漏洞利用程序。CVE-2022-1388(CVSS评分9.8)被归类为缺失身份验证漏洞,涉及iControl REST身份验证绕过,可能导致攻击者获得访问权限并控制受损的BIG-IP系统。攻击者可以执行许多恶意操作,例如为未来的攻击加载web shell,部署加密货币矿工和泄露敏感数据。
远程代码执行缺陷很容易被利用,这使得它们成为机会主义威胁行为者的攻击目标。每当在面向互联网的服务中发现漏洞时,威胁行为者肯定会迅速利用它们。像CVE-2022-1388这样的漏洞提供了对目标网络的即时初始访问,并且通常使攻击者能够通过横向移动和特权升级进行攻击。
结语
企业安全团队必须承认,旧的漏洞仍然存在,并继续构成重大威胁。虽然最新的CVE通常更引人注目,但CISA的年度常用漏洞清单清楚地提醒人们,已知的漏洞仍然能够对易受攻击的系统造成严重破坏。
除了全面的列表之外,CISA还为供应商和技术组织提供了识别和减轻潜在风险的指导。建议包括采用“设计即安全”(secure-by-design)实践,并优先修补已知的被利用的漏洞,从而最大限度地降低妥协的风险。还鼓励供应商建立协调一致的漏洞披露程序,以便对发现的漏洞进行根本原因分析。
原文链接:https://www.sentinelone.com/blog/enterprise-security-essentials-top-12-most-routinely-exploited-vulnerabilities/