2024年,零日漏洞的数量再次显著增加。由于缺乏可用的补丁,这些漏洞使攻击者可以先于网络防御团队采取行动,成为攻陷企业系统的核心武器。
尽管所有零日漏洞都是首席信息安全官(CISO)及其团队必须了解的,也是供应商必须尽快修复的,但某些零日漏洞特别重要,因为它们揭示了攻击者试图通过哪些产品获得对企业网络和数据的访问权限。
以下总结了2024年零日漏洞利用激增的背景下,CISO及其企业安全团队应密切关注的一些重要趋势。这些趋势因其重要性、创新性或对企业资产的直接影响而意义重大。
1. 针对网络安全设备的零日攻击增加
今年,针对网络边缘设备(包括VPN网关、防火墙、邮件安全网关和负载均衡系统)的攻击明显加速。这些设备因其强大的功能、在网络中的特权位置以及底层代码和操作系统的有限可见性,成为攻击者进入企业网络的理想入口点。
年初,Ivanti披露了Connect Secure(SSL VPN)和Policy Secure(网络访问控制)产品中的两个零日漏洞。其中一个漏洞(CVE-2023-46805)允许身份验证绕过,另一个漏洞(CVE-2024-21887)使攻击者能够进行底层操作系统的命令注入。这些漏洞被一个国家级黑客组织利用,并组合成攻击链。
在这一年中,又发现了多个针对以下设备的零日漏洞攻击:
此外,一些已知漏洞(已修复的nday漏洞)也持续在未修补的网络边缘设备和应用中被广泛利用,使这些系统在2024年成为攻击者(尤其是国家支持的网络间谍组织)的主要目标之一。
2. 远程监控和管理仍是热门目标
攻击者,尤其是为勒索软件团伙工作的初始访问经纪人,习惯性地滥用远程监控和管理(RMM)产品,不仅用于维持在企业网络中的持久性,还用于突破网络防线。
早在2021年,REvil勒索软件团伙就曾利用Kaseya VSA服务器(托管服务商经常使用的RMM平台)中的漏洞。今年2月,攻击者又利用了ConnectWise ScreenConnect中的两个零日漏洞:路径遍历(CVE-2024-1708)和身份验证绕过(CVE-2024-1709)。
通过这些漏洞,攻击者得以访问初始设置向导并重置管理员密码。正常情况下,这种设置向导仅应运行一次,并在完成配置后受到保护。
3. 托管文件传输受到攻击
勒索软件团伙频繁以企业托管文件传输软件(MFT)为目标,以获取企业网络的初始访问权限。2024年12月,攻击者利用了Cleo LexiCom、VLTrader和Harmony这三种企业文件传输产品中的任意文件写入漏洞(CVE-2024-55956)。
该漏洞与2024年10月在Cleo同一产品中修复的另一个漏洞(CVE-2024-50623)类似。后者允许任意文件写入和读取。尽管这些漏洞出现在相同的代码基础部分,并可通过相同端点访问,但Rapid7研究人员表示它们是独立漏洞,无需结合利用。
攻击者可以通过CVE-2024-55956将恶意文件写入应用的Autorun目录,并利用内置功能执行这些文件,从而下载其他恶意软件负载。
2023年,Cl0p勒索软件团伙曾利用MOVEit Transfer中的SQL注入零日漏洞(CVE-2023-34362)窃取了多个组织的数据。今年,MOVEit Transfer产品中又发现了两个严重的身份验证绕过漏洞(CVE-2024-5806和CVE-2024-5805),引发了新一轮漏洞利用潮,尤其是勒索软件团伙多次将MFT产品作为攻击目标的背景下。
2023年初,Cl0p还利用了GoAnywhere MFT中的远程代码执行零日漏洞(CVE-2023-0669),声称窃取了130家组织的数据。更早在2020年,该团伙曾利用Accellion File Transfer Appliance中的零日漏洞(CVE-2021-27101)。
4. 持续集成/持续交付工具漏洞吸引攻击者
攻击者还在寻找持续集成/持续交付(CI/CD)工具中的漏洞。这些工具不仅可能成为企业网络的潜在入口(尤其是暴露在互联网上时),还可能被用来入侵软件开发管道,从而引发供应链攻击。2020年SolarWinds Orion软件后门攻击事件,就是此类攻击的知名案例。这款软件被数以万计的私营企业和政府机构使用。
2024年1月,研究人员发现了Jenkins中的一个路径遍历漏洞(CVE-2024-23897),该漏洞可能导致代码执行。由于漏洞源于软件解析CLI命令的方式,被评为“严重”漏洞。尽管在漏洞公开披露时,修补程序已经发布,因此不属于零日漏洞,但攻击者迅速开发了利用方法。漏洞利用工具在3月便开始被出售。到8月,美国网络安全和基础设施安全局(CISA)已将该漏洞加入其“已知漏洞利用目录”,因为勒索软件团伙开始利用该漏洞攻破企业网络并窃取敏感数据。
今年,攻击者还利用了另一个CI/CD工具的已知漏洞(CVE-2024-27198)。这是JetBrains TeamCity(一种构建管理和持续集成服务器)中的身份验证绕过问题。该漏洞可能导致服务器完全失陷,并允许远程代码执行。
这并非攻击者首次将目标对准TeamCity。2023年9月,另一个身份验证绕过漏洞(CVE-2023-42793)被发现。该漏洞很快被朝鲜国家支持的黑客利用,用于攻破Windows环境。而在2024年,这一漏洞继续成为其他攻击团伙的目标。
5. 软件供应链攻击层出不穷
CI/CD工具漏洞并不是攻击者进入开发/构建环境,并破坏源代码或植入后门的唯一途径。今年,一场持续多年的渗透行动被曝光,一名使用假身份的恶意开发者逐渐赢得了一个开源项目的信任,并被添加为XZ Utils库的维护者。该库是一种广泛使用的开源数据压缩库。
这名恶意开发者“Jia Tan”在XZ Utils代码中逐步添加了一个与SSH交互的后门,目的是在系统上打开未经授权的远程访问通道。幸运的是,该后门在被纳入稳定版Linux发行版之前就被意外发现。
这一漏洞(CVE-2024-3094)凸显了开源生态系统中供应链攻击的高风险。由于人手和资金不足,许多关键且广泛使用的开源项目在接受新开发者贡献时审查不够严格,从而埋下安全隐患。
此外,12月,攻击者利用GitHub Actions中的脚本注入漏洞,入侵并植入Ultralytics YOLO(一种开源AI库)PyPI版本的后门。这类因不安全使用GitHub Actions CI/CD服务而引发的脚本注入漏洞在今年早些时候已被记录,且可能影响许多托管在GitHub上的项目。
6. AI热潮带来新的攻击可能性
随着组织竞相测试和整合AI聊天机器人及机器学习模型到业务工作流中,它们在云基础设施上部署了各种AI相关框架、库和平台。然而,这些平台不仅配置不安全,还可能存在漏洞。攻击者利用这些漏洞可以访问敏感的知识产权(如定制的AI模型和训练数据),甚至还可能获得对底层服务器的控制权限。
Jupyter Notebooks是一种广泛用于数据可视化和机器学习的基于Web的交互式计算平台,其实例经常被僵尸网络攻击,用于感染服务器并运行加密货币挖矿程序。今年在Windows版本中发现的一个漏洞(CVE-2024-35178)允许未经身份验证的攻击者泄露服务器运行用户的NTLMv2密码哈希。如果破解成功,攻击者可以利用该密码在同一网络中的其他机器上进行横向移动。
此外,11月,JFrog研究人员披露了对机器学习工具生态系统的分析结果,发现了15个不同机器学习(ML)项目中的22个漏洞,涵盖服务器端和客户端组件。今年10月,Protect AI通过其漏洞奖励计划报告了34个存在于开源AI/ML供应链中的漏洞。
这些研究表明,作为较新的领域,许多AI/ML框架在安全性方面尚不成熟,或者未受到与其他类型软件同等水平的安全审查。尽管研究人员正在加强对这些工具的审查,但恶意攻击者也在积极研究这些工具,而仍有大量未被发现的漏洞为他们提供了可乘之机。
7.安全功能绕过使攻击更具威胁性
尽管组织应优先修补严重的远程代码执行漏洞,但需要注意的是,攻击者在实际操作中同样会利用权限提升或安全功能绕过等低严重性漏洞,这些漏洞对于攻击链的成功至关重要。
今年,攻击者利用了Windows中的5个零日漏洞,这些漏洞允许绕过SmartScreen提示,从而执行从互联网上下载的文件:CVE-2024-38217、CVE-2024-38213、CVE-2024-29988、CVE-2024-21351和CVE-2024-21412。
Windows Defender SmartScreen是一种内置于Windows的文件信誉功能,用于将携带“网页标记”(MOTW)标志的文件视为可疑,从而向用户显示更强烈的安全警告。
任何能绕过此功能的技术,都会成为攻击者通过电子邮件附件或驱动下载传播恶意软件的利器。近年来,勒索软件团伙尤其倾向于寻找并利用SmartScreen绕过漏洞。
权限提升漏洞也非常有用,因为它们允许当前用户执行的恶意代码获得系统管理员级权限。今年,Windows和Windows Server中报告了11个权限提升零日漏洞,而远程代码执行零日漏洞仅有5个。
参考资料:https://www.csoonline.com/article/3629815/top-7-zero-day-exploitation-trends-of-2024.html