根據(jù)谷歌公司威脅分析小組去年7月發(fā)布的報(bào)告顯示，2022年全球共有41個(gè)0day漏洞被利用和披露。而研究人員普遍認(rèn)為，2023年被利用的0Day漏洞數(shù)量會(huì)比2022年更高，這些危險(xiǎn)的漏洞被廣泛用于商業(yè)間諜活動(dòng)、網(wǎng)絡(luò)攻擊活動(dòng)以及數(shù)據(jù)勒索攻擊等各種場合。本文收集整理了2023年十個(gè)最具破壞性的0Day攻擊事件。

1.Fortra GoAnywhere

CVE-2023-0669漏洞（CNNVD編號(hào):CNNVD-202302-398）是2023年第一個(gè)導(dǎo)致大范圍勒索攻擊的MFT零日漏洞，它是Fortra GoAnywhere管理文件傳輸（MFT）產(chǎn)品中的一個(gè)預(yù)驗(yàn)證命令注入漏洞。網(wǎng)絡(luò)安全記者Brian Krebs于2月2日首次報(bào)道了這個(gè)漏洞。而Fortra公司也在前一天向身份經(jīng)過驗(yàn)證的客戶發(fā)布了針對(duì)CVE-2023-0669漏洞的安全公告。

盡管該漏洞在2月7日就被修補(bǔ)，但直到3月14日，數(shù)據(jù)安全供應(yīng)商Rubrik才完整披露了和GoAnywhere漏洞相關(guān)的泄密事件以及該漏洞的利用細(xì)節(jié)。同一天，Cloq勒索軟件團(tuán)伙在其數(shù)據(jù)泄露網(wǎng)站上列出了與該零日漏洞有關(guān)的受害企業(yè)組織，包括Rubrik、寶潔、日立能源和Community Health Systems等100多家企業(yè)。

2.梭子魚電子郵件安全網(wǎng)關(guān)

2023年5月23日，梭子魚網(wǎng)絡(luò)披露了其電子郵件安全網(wǎng)關(guān)（ESG）設(shè)備中發(fā)現(xiàn)了一個(gè)0day漏洞，編號(hào)為CVE-2023-2868（CNNVD編號(hào):CNNVD-202305-2128）。該公司表示，它于5月19日發(fā)現(xiàn)了該缺陷，并于第二天向所有設(shè)備發(fā)布了補(bǔ)丁。雖然最初的公告包含有關(guān)該漏洞的一些詳細(xì)信息，但有關(guān)該缺陷和相關(guān)攻擊的更多信息于次周曝光。

通過進(jìn)一步調(diào)查發(fā)現(xiàn)，該遠(yuǎn)程命令注入漏洞早在2022年10月就被利用了，攻擊者使用三種類型的惡意軟件獲得了部分ESG設(shè)備的持久后門訪問權(quán)限，進(jìn)而從客戶網(wǎng)絡(luò)系統(tǒng)中竊取數(shù)據(jù)。為了修復(fù)漏洞，梭子魚為其客戶免費(fèi)更換了受破壞的設(shè)備。

2023年6月15日，Mandiant報(bào)道稱，這些攻擊是由網(wǎng)絡(luò)間諜組織UNC4841發(fā)起的。威脅行為者修改了其惡意軟件，以防止有效修補(bǔ)并保持對(duì)受感染設(shè)備的持久訪問。美國聯(lián)邦調(diào)查局8月警告稱，黑客們?nèi)栽诶^續(xù)利用這個(gè)漏洞。

3.Progress Software MoveIt Transfer

2023年5月31日，Progress Software公司披露并修補(bǔ)了MoveIt Transfer軟件中的SQL注入漏漏CVE-2023-34362（CNNVD編號(hào):CNNVD-202306-110）。次日，Rapid7報(bào)告了零日漏洞被利用的活動(dòng)，但幾天后情況開始惡化。

2023年6月4日，微軟威脅情報(bào)中心將MoveIt Transfer漏洞歸因Lace Tempest威脅分子，這伙人與Clop勒索軟件團(tuán)伙有關(guān)。Mandiant也觀察到了該漏洞被大肆利用的活動(dòng)，攻擊者闖入MoveIt Transfer實(shí)例，竊取客戶數(shù)據(jù)，受害者包括美國州和聯(lián)邦政府機(jī)構(gòu)、英國航空公司、Extreme Networks和西門子能源公司。

就像針對(duì)Fortra GoAnywhere客戶的攻擊一樣，CVE-2023-34362漏洞攻擊者一心竊取數(shù)據(jù)，沒有在受害者的環(huán)境中部署勒索軟件。目前尚不清楚多少受害者支付了贖金，但攻擊范圍令人震驚。Emsisoft在2023年9月估計(jì)，Clop的數(shù)據(jù)竊取和勒索活動(dòng)影響了全球2095家組織和超過6200萬人。

4.VMware Tools

2023年6月13日，VMware披露了一個(gè)影響ESXi虛擬機(jī)管理程序?qū)嵗牡臀Ｂ┒?。這個(gè)身份驗(yàn)證繞過漏洞編號(hào)為CVE-2023-20867（CNNVD編號(hào):CNNVD-202306-968），能夠讓受感染的ESXi主機(jī)上的攻擊者可以突破VMware Tools主機(jī)到訪客操作中的身份驗(yàn)證檢查機(jī)制，最終危及虛擬機(jī)。

由于攻擊者需要對(duì)ESXi虛擬機(jī)管理程序獲得根訪問權(quán)限，CVE-2023-20867被賦予的CVSS v3分?jǐn)?shù)僅為3.9分，不過Mandiant公司披露，一個(gè)名為UNC3886的網(wǎng)絡(luò)間諜威脅組織利用了VMware Tools的漏洞，該組織在2022年就利用惡意軟件系列攻擊了ESXi主機(jī)。

在最近的攻擊中，該網(wǎng)絡(luò)間諜組織的目標(biāo)是美國和亞太地區(qū)的國防、技術(shù)和電信組織。Mandiant稱這些攻擊者非常老練，他們利用了VMware 0day漏洞，從ESXi主機(jī)上的訪客虛擬機(jī)執(zhí)行特權(quán)命令，同時(shí)部署了持久的后門。這些攻擊表明，一些CVSS分?jǐn)?shù)較低的漏洞也可以被威脅分子用來造成重大破壞。

5.微軟Windows和Office

2023年，微軟產(chǎn)品曝出的最嚴(yán)重漏洞之一就是CVE-2023-36884（CNNVD編號(hào):CNNVD-202307-797），這是Windows搜索工具中的遠(yuǎn)程代碼執(zhí)行（RCE）漏洞。該漏洞是在微軟7月發(fā)布的周二補(bǔ)丁日中首次披露的，主要影響了Windows和Office軟件。

與其他的微軟漏洞相比，CVE-2023-36884漏洞主要有兩大特點(diǎn)：首先，RCE漏洞在披露時(shí)沒有補(bǔ)丁，微軟僅提供了緩解措施以防止被利用，該漏洞一直到8月的周二補(bǔ)丁日才得到修復(fù)；其次，某東歐地區(qū)的網(wǎng)絡(luò)犯罪組織將CVE-2023-36884用于側(cè)重間諜的網(wǎng)絡(luò)釣魚活動(dòng)以及出于牟利的勒索軟件攻擊。據(jù)微軟報(bào)告，該組織的攻擊目標(biāo)是北美和歐洲的國防組織和政府實(shí)體。攻擊者利用CVE-2023-36884繞過微軟的MotW安全功能，該功能通常阻止惡意鏈接和附件。

6.WebP / Libwebp

2023年9月11日，谷歌針對(duì)其開發(fā)的圖像格式WebP中一個(gè)嚴(yán)重的堆緩沖區(qū)溢出漏洞發(fā)布了緊急補(bǔ)丁。這個(gè)零日漏洞編號(hào)為CVE-2023-4863（CNNVD編號(hào):CNNVD-202309-784），允許遠(yuǎn)程攻擊者通過惡意WebP圖像執(zhí)行越界內(nèi)存寫入。

這個(gè)漏洞不僅僅影響谷歌的Chrome瀏覽器，同時(shí)還因影響所有支持WebP格式的瀏覽器，因此微軟、蘋果和Mozilla等公司也陸續(xù)發(fā)布了瀏覽器版本更新。更多細(xì)節(jié)顯示，雖然谷歌最初稱其為是WebP的缺陷，但安全研究人員指出，這個(gè)問題其實(shí)存在于開源Libwebp庫中。

讓事情變得更加復(fù)雜的是，Cloudflare等一些網(wǎng)絡(luò)安全公司認(rèn)為，CVE-2023-4863與Apple ImageI/O框架中的另一個(gè)0day堆緩沖區(qū)溢出漏洞之間存在相似之處，該漏洞在9月7日被披露和修補(bǔ)，并被追蹤為CVE-2023-41064。研究人員發(fā)現(xiàn)，該漏洞已被商業(yè)間諜軟件供應(yīng)商N(yùn)SOGroup的零點(diǎn)擊攻擊武器化。

7.蘋果iOS和iPadOS

蘋果在2023年也曝出了0day漏洞，特別是9月21日披露的iOS和iPadOS中的三個(gè)漏洞尤為突出。這些漏洞包括：CVE-2023-41992（操作系統(tǒng)內(nèi)核中的特權(quán)提升漏洞，CNNVD編號(hào)為CNNVD-202309-2064）、CVE- 2023-41991（讓攻擊者可以繞過簽名驗(yàn)證的安全漏洞,CNNVD編號(hào)為CNNVD-202309-2065）以及CVE-2023-41993（蘋果的WebKit瀏覽器引擎中導(dǎo)致代碼任意執(zhí)行的漏洞,CNNVD編號(hào)為CNNVD-202309-2063）。這些漏洞被用在一條漏洞鏈中，用于投放商監(jiān)視供應(yīng)商Cytrox的間諜軟件產(chǎn)品Predator。埃及議會(huì)前議員Ahmed Eltantawy在2023年5月至9月期間成為了Predator間諜軟件的目標(biāo)。研究人員調(diào)查了其手機(jī)上的活動(dòng)，發(fā)現(xiàn)手機(jī)感染了Predator間諜軟件。

8.Atlassian Confluence

10月4日，Atlassian公司披露并修補(bǔ)了其Confluence數(shù)據(jù)中心和服務(wù)器產(chǎn)品中的一個(gè)0day漏洞。該漏洞編號(hào)為CVE-2023-22515（CNNVD編號(hào):CNNVD-202310-278），最初是特權(quán)提升漏洞，影響Confluence工作空間套件的自托管版本。Atlassian表示這是一個(gè)非常嚴(yán)重的漏洞，并給這個(gè)零日漏洞賦予10分的CVSS分?jǐn)?shù)。

目前不清楚有多少Atlassian客戶受到了該漏洞的攻擊，也不清楚攻擊者針對(duì)哪些類型的組織。Atlassian敦促所有客戶立即更新Confluence實(shí)例，或者將高危版本與公共互聯(lián)網(wǎng)隔離，直到可以正確地打上補(bǔ)丁。

9.思杰NetScaler ADC和NetScaler網(wǎng)關(guān)

2023年10月10日，思杰公司修復(fù)了兩個(gè)影響多個(gè)版本NetScaler ADC和NetScaler網(wǎng)關(guān)的安全漏洞，其中一個(gè)是敏感信息泄露漏洞，編號(hào)為CVE-2023-4966（CNNVD編號(hào):CNNVD-202310-666），它被網(wǎng)絡(luò)安全專業(yè)人士認(rèn)為是Citrix Bleed的最嚴(yán)重漏洞之一。

Mandiant調(diào)查發(fā)現(xiàn)，自8月以來就觀察到牽涉CitrixBleed的攻擊活動(dòng)，主要針對(duì)政府和技術(shù)組織。威脅分子劫持高危設(shè)備的身份驗(yàn)證會(huì)話，從而得以繞過MFA和其他身份驗(yàn)證檢查機(jī)制。更令人擔(dān)憂的是，即使修復(fù)了CVE-2023-4966，這些被劫持的會(huì)話仍可能被威脅分子濫用，因此建議客戶除了安裝補(bǔ)丁外，還應(yīng)該采取另外的緩解措施。

利用該零日漏洞的活動(dòng)在11月仍在繼續(xù)。CISA和FBI在聯(lián)合報(bào)告中就LockBit攻擊發(fā)出了安全警告，他們預(yù)計(jì)還將會(huì)看到該漏洞被大肆利用的現(xiàn)象。

10.思科IOS XE

2023年10月16日，思科公司發(fā)布了IOS XE軟件中關(guān)鍵零日漏洞CVE-2023-20198（CNNVD編號(hào):CNNVD-202310-1209）的安全公告。該零日漏洞影響所有啟用了Web用戶界面功能的IOS XE版本。遠(yuǎn)程攻擊者可以利用該漏洞，針對(duì)運(yùn)行該軟件的設(shè)備獲得最高訪問權(quán)限。由于披露時(shí)還未發(fā)布補(bǔ)丁，因此思科公司建議客戶立即禁用所有高危系統(tǒng)的HTTP服務(wù)器功能。

研究人員表示，攻擊者最早從9月18日起就開始利用漏洞，一連串攻擊由同一伙身份不明的威脅分子實(shí)施。攻擊者利用了漏洞在中招的設(shè)備上部署了名為BadCandy的植入軟件。10月22日，思科發(fā)布了針對(duì)CVE-2023-20198以及第二個(gè)相關(guān)漏洞CVE-2023-20273的安全補(bǔ)丁。由于該漏洞已經(jīng)被較廣泛利用，思科敦促所有客戶立刻部署補(bǔ)丁，并采取建議的緩解措施。

參考鏈接：https://www.techtarget.com/searchsecurity/feature/10-of-the-biggest-zero-day-attacks-of-2023