译者 | 晶颜
审校 | 重楼
零日漏洞在2024年再次大幅增长。由于没有可用的补丁,零日漏洞为攻击者提供了突破网络安全防线的利刃,使其成为攻击企业系统的关键武器。
虽然所有的零日漏洞对于首席信息安全官(CISO)及其团队来说都是至关重要的,对于供应商来说也都需要及时进行补救,但有些零日漏洞利用活动却清晰地揭示了攻击者对目标的偏好趋势。
以下是CISO及其安全团队应该注意的一些关键趋势,这些趋势是基于今年不断增加的零日漏洞利用总结的。它们每一项都因其突出性、创新性或对业务资产的实际影响而显得至关重要。
1.针对网络安全设备的零日攻击增加
VPN网关、防火墙、邮件安全网关、负载均衡系统等网络边缘设备的攻击速度在今年急速飙升。鉴于其强大的功能、特权的网络位置以及其所有者对底层代码和操作系统的有限可见性,这些设备已经成为进入企业网络的理想入口点。
今年年初,Ivanti Connect Secure和Ivanti Policy Secure(一个SSL VPN和一个网络访问控制解决方案)中出现了两个零日漏洞。其中一个漏洞(CVE-2023-46805)允许身份验证绕过;第二个漏洞(CVE-2024-21887)则允许在底层操作系统中注入命令。这两个漏洞被一个国家行为体组织结合在一个利用链中利用。
2024年的关键零日漏洞利用还包括:
- Citrix NetScaler ADC和NetScaler网关(CVE-2023-6548,代码注入;CVE-2023-6549,缓冲区溢出);
- Ivanti Connect Secure(CVE-2024-21893,服务器端请求伪造);
- Fortinet FortiOS SSL VPN(CVE-2024-21762,任意代码执行漏洞);
- Palo Alto Networks PAN-OS(CVE-2024-3400,命令注入);
- Cisco Adaptive Security Appliance(CVE-2024-20359,任意代码执行;CVE-2024-20353,拒绝服务漏洞);
- Check Point量子安全网关和CloudGuard网络安全(CVE-2024-24919,导致信息泄露的路径遍历);
- Cisco NX-OS交换机(CVE-2024-20399,CLI命令注入);
- Versa Networks Director(CVE-2024-39717,任意文件上传和执行);
- Ivanti云服务设备(CVE-2024-8963,路径遍历导致远程代码执行);
- Ivanti云服务设备(CVE-2024-9381,路径遍历,与CVE-2024-8963结合成利用链);
- Ivanti云服务设备(CVE-2024-9379, SQL注入导致应用程序接管,与CVE-2024-8963结合成利用链);
- Ivanti云服务设备(CVE-2024-9380,操作系统指令注入,与CVE-2024-8963结合成利用链);
- Fortinet FortiManager漏洞(CVE-2024-47575,缺少认证导致整个系统泄露);
- Cisco Adaptive Security Appliance(CVE-2024-20481,远程访问VPN拒绝服务漏洞);
- Palo Alto PAN-OS(CVE-2024-0012,身份绕过,与CVE-2024-9474结合成利用链导致命令注入)。
更糟糕的是,其他已修复(N-days)的已知漏洞也继续在未打补丁的网络边缘设备和设备中被广泛滥用,使这些系统成为2024年攻击者的首要目标之一,尤其是国家支持的网络间谍组织。
2.远程监控和管理(RMM)仍是一个成熟的目标
攻击者——尤其是为勒索软件组织工作的初始访问代理——习惯性地滥用远程监控和管理(RMM)产品来保持对公司网络的持久性,同时也侵入它们。
早在2021年,REvil勒索软件组织就利用了Kaseya VSA服务器中的一个漏洞,Kaseya VSA服务器是许多托管服务提供商(MSP)使用的远程管理平台。2024年2月,攻击者又利用了另一个广泛使用的RMM工具ConnectWise ScreenConnect中的两个零日漏洞。
这些漏洞被追踪为CVE-2024-1708和CVE-2024-1709,分别是一个路径遍历和身份验证绕过漏洞。这些漏洞允许攻击者访问初始设置向导并在此过程中重置管理密码。通常情况下,安装向导应该只运行一次,并在应用程序设置完成后受到保护。
3.托管文件传输受到攻击
勒索软件团伙还习惯以企业托管文件传输(MFT)软件为目标,以获取企业网络的初始访问权限。去年12月,攻击者开始利用Cleo LexiCom、VLTrader和Harmony这三款企业文件传输产品中的任意文件写入漏洞。
该漏洞现在被追踪为CVE-2024-55956,类似于10月份在同一Cleo产品中修补的另一个漏洞(CVE-2024-50623),后者允许任意文件写入和文件读取。然而,根据Rapid7研究人员的说法,即使这两个漏洞位于代码库的同一部分,并且可以通过相同的端点访问,但它们是不同的,也不需要组合成利用链来发挥作用。
攻击者可以利用CVE-2024-55956将恶意文件写入应用程序的Autorun目录,然后利用内置功能执行其文件并下载额外的恶意软件有效负载。
2023年,数千家企业使用的MFT产品MOVEit Transfer中的一个零日SQL注入漏洞(CVE-2023-34362)被Cl0p勒索软件团伙利用,从众多组织窃取数据。今年,在同一产品中又发现了两个关键的身份验证绕过漏洞(CVE-2024-5806和CVE-2024-5805),这引发了人们对新一波利用即将到来的担忧,尤其是在该勒索软件组织之前针对的就是MFT产品的情况下。
在2023年1月,Cl0p团伙利用了GoAnywhere MFT中的一个零日远程代码执行漏洞(CVE-2023-0669),并声称窃取了130个组织的数据,而在2020年,同一组织的成员利用了Accellion文件传输设备中的一个零日漏洞(CVE-2021-27101)。
4.CI/CD缺陷对攻击者极具吸引力
攻击者也在寻找CI/CD工具中的漏洞,因为它们不仅提供了进入企业网络的入口点,而且一旦暴露在互联网上,还会增加破坏软件开发管道的可能性,从而导致软件供应链攻击。其中一次备受瞩目的攻击就是2020年SolarWinds公司爆发的Orion软件后门事件,该软件当时广泛应用于众多私人组织和政府机构。
2024年1月,研究人员在Jenkins中发现了一个可能导致代码执行的路径遍历漏洞(CVE-2024-23897)。该漏洞被评为高危漏洞,根源在于该软件解析命令行界面(CLI)命令的方式。
虽然补丁在公开披露时可用,因此不是零日漏洞,但攻击者很快就采用了它,早在3月份就有迹象表明该漏洞已被滥用。今年8月,在勒索软件组织开始利用该漏洞侵入企业网络并窃取敏感数据后,美国网络安全和基础设施安全局(CISA)将该漏洞添加到其已知利用漏洞目录中。
今年攻击者利用的另一个N天CI/CD漏洞是CVE-2024-27198,这是JetBrains TeamCity(构建管理和持续集成服务器)中的一个身份验证绕过问题。该漏洞可能导致完全的服务器接管和远程代码执行。
这并不是攻击者第一次针对TeamCity,因为在2023年9月发现的另一个身份验证绕过漏洞(CVE-2023-42793)很快便被朝鲜政府资助的黑客利用来破坏Windows环境,然后在整个2024年继续被其他组织作为攻击目标。
5.供应链妥协比比皆是
CI/CD缺陷并不是破坏开发或构建环境以污染源代码或引入后门的唯一方法。今年,研究人员发现了一个长达数年的渗透活动,一个恶意的开发人员使用假身份慢慢地获得了一个开源项目的信任,并被添加为XZ Utils库的维护者,XZ Utils库是一个广泛使用的开源数据压缩库。
这个名为Jia Tan的流氓开发人员慢慢地在XZ Utils代码中添加了一个后门,该后门与SSH交互,目的是在系统上打开未经授权的远程访问。这个后门是偶然发现的——幸运的是,在木马版本成为稳定的Linux发行版之前。
该漏洞被追踪为CVE-2024-3094,突出了开源生态系统中供应链攻击的风险。在开源生态系统中,许多生产关键和广泛使用的软件库的项目面临人手和资金不足的情况,很可能在没有经过严格审查的情况下接受新开发人员的帮助。
去年12月,攻击者利用GitHub Actions的脚本注入漏洞,对开源人工智能库Ultralytics YOLO的PyPI版本进行了入侵和后门攻击。这类脚本注入漏洞利用了对GitHub Actions CI/CD服务的不安全使用,可能会影响许多托管在GitHub上的项目。
6.AI淘金热开启了新的攻击可能性
为了急于将人工智能聊天机器人和机器学习模型测试并集成到业务工作流程中,组织正在其云基础设施上部署各种与人工智能相关的框架、库和平台,但却忽略了配置安全问题。除了配置错误之外,这些平台还可能存在漏洞,使攻击者能够访问敏感的知识产权,例如自定义AI模型和训练数据,或者至少为他们提供在底层服务器上的立足点。
Jupyter Notebooks是一个基于Web的交互式计算平台,用于数据可视化、机器学习等,谷歌和AWS等云提供商将Jupyter Notebooks作为托管服务提供。但它经常会沦为僵尸网络的目标,通过加密挖矿程序感染服务器。
今年,Windows版本的Jupyter Notebooks漏洞(CVE-2024-35178)让未经身份验证的攻击者泄露了运行服务器的Windows用户的NTLMv2密码哈希值。如果被破解,这个密码可以用来使用该凭据对同一网络上的其他机器执行横向移动。
去年11月,JFrog的研究人员宣布了他们分析机器学习工具生态系统的结果,结果是在15个不同的机器学习项目(包括服务器端和客户端组件)中发现了22个漏洞。10月初,Protect AI报告了开源AI/ML供应链中的34个漏洞,这些漏洞是通过其漏洞赏金计划披露的。
诸如此类的研究工作强调,作为较新的项目,许多AI/ML框架从安全角度来看可能不够成熟,或者没有像其他类型的软件那样得到安全研究社区的同等审查。虽然这种情况正在改变,但随着研究人员越来越多地研究这些工具,恶意攻击者也在研究它们,似乎有足够的漏洞留给他们去发现。
7.绕过安全特性使攻击更加有效
虽然组织应该在修补工作中始终优先考虑关键的远程代码执行漏洞,但值得记住的是,在实践中,攻击者也会利用对其攻击链有用的不太严重的缺陷,例如特权升级或安全功能绕过漏洞。
今年,攻击者利用了五个不同的零日漏洞,允许他们在执行从互联网下载的文件时绕过SmartScreen提示。它们包括CVE-2024-38217、CVE-2024-38213、CVE-2024-29988、 CVE-2024-21351和CVE-2024-21412。
Windows Defender SmartScreen是Windows内置的文件信誉功能,它将带有网络标记(mark -of- web,简称MOTW)标志的文件视为可疑文件,从而向用户显示更具攻击性的警报。
任何可以绕过此功能的技术对于通过电子邮件附件或drive-by下载分发恶意软件的攻击者都非常有用。近年来,勒索软件组织尤其善于发现并利用SmartScreen绕过技术。
特权升级漏洞允许当前用户执行的恶意代码获得系统上的管理级特权,这对于想要破坏整个系统的攻击者来说也非常有用。据报道,今年Windows和Windows Server中有11个此类漏洞为零日漏洞,单Windows组件中就有5个零日远程代码执行漏洞。
原文标题:Top 7 zero-day exploitation trends of 2024,作者:Lucian Constantin
