譯者 | 晶顏

審校 | 重樓

2023年，威脅行為者已經(jīng)發(fā)現(xiàn)了大量漏洞，并積極利用這些漏洞進(jìn)行惡意攻擊，例如勒索軟件、網(wǎng)絡(luò)間諜、數(shù)據(jù)盜竊、網(wǎng)絡(luò)恐怖主義和許多國家支持的活動(dòng)。

一些漏洞已被添加到CISA的已知被利用漏洞（KEV）目錄中，并被標(biāo)記為亟需補(bǔ)丁的高危漏洞。Microsoft、Citrix、Fortinet、Progress和許多其他供應(yīng)商的產(chǎn)品均受到了這些漏洞的影響。

概括來看，2023年最易被濫用的漏洞包括：

• MOVEit漏洞（CVE-2023-34362）
• Microsoft Outlook特權(quán)升級(jí)漏洞（CVE-2023-23397）
• Fortinet FortiOS漏洞（CVE-2022-41328）
• ChatGPT漏洞（CVE-2023-28858）
• Windows通用日志文件系統(tǒng)驅(qū)動(dòng)程序權(quán)限升級(jí)漏洞（CVE-2023-28252）
• Barracuda郵件安全網(wǎng)關(guān)漏洞（CVE-2023-2868）
• Adobe ColdFusion漏洞（CVE-2023-26360）
• Citrix Bleed漏洞（CVE 2023-4966）
• Windows SmartScreen繞過漏洞（CVE-2023-24880）
• SugarCRM遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2023-22952）

Progress MOVEit SQL注入漏洞

2023年5月，MOVEit Secure Managed File Transfer 軟件中被曝存在一個(gè)嚴(yán)重的零日SQL注入漏洞（CVE-2023-34362）。由于該漏洞的嚴(yán)重性，CISA于2023年6月初發(fā)布了針對(duì)該漏洞的公告。

MOVEit Transfer是一款商業(yè)安全托管文件傳輸（MFT）軟件解決方案，支持使用SFTP、SCP和HTTP的方式在組織及其客戶之間安全移動(dòng)和上傳文件。

MOVEit Transfer受到該SQL注入漏洞的影響，可能允許未經(jīng)身份驗(yàn)證的攻擊者訪問MOVEit Transfer的數(shù)據(jù)庫。結(jié)構(gòu)化查詢語言（SQL）允許對(duì)關(guān)系數(shù)據(jù)庫執(zhí)行查詢和命令。注入漏洞允許攻擊者操縱這些查詢來利用系統(tǒng)檢索數(shù)據(jù)或進(jìn)行更改。

在這種情況下，攻擊者可以從原本受到保護(hù)的數(shù)據(jù)庫中提取數(shù)據(jù)，執(zhí)行自己的SQL查詢，以及更改和刪除數(shù)據(jù)。此漏洞（CVE-2023-34362）存在于易受SQL注入攻擊的2021.0.6（13.0.6）、2021.1.4（13.1.4）、2022.0.4（14.0.4）、2022.1.5（14.1.5）和2023.0.1（15.0.1）之前的Progress MOVEit Transfer版本中。

據(jù)悉，該漏洞于2023年5月和6月被CL0P勒索軟件組織濫用，政府、金融、媒體、航空和醫(yī)療機(jī)構(gòu)等行業(yè)都受到了影響，數(shù)據(jù)被竊取。

此漏洞的嚴(yán)重性為9.8（嚴(yán)重）。Progress已經(jīng)發(fā)布了修復(fù)此漏洞的補(bǔ)丁版本以及預(yù)防措施。

Microsoft Outlook特權(quán)提升漏洞

這一特權(quán)提升漏洞（CVE-2023-23397）存在于所有版本的Outlook客戶端中，包括用于Android、iOS、Mac和Windows用戶的Outlook。威脅參與者可以通過發(fā)送特制郵件來利用此漏洞，從而自動(dòng)觸發(fā)此漏洞利用。

此外，這是一個(gè)無需用戶交互的“零點(diǎn)擊”（zero-click）漏洞。成功利用此漏洞會(huì)泄露受害者的Net-NTLMv2散列，然后可以使用這些散列對(duì)其他系統(tǒng)執(zhí)行中繼攻擊，并將威脅參與者身份驗(yàn)證為目標(biāo)用戶。

一個(gè)來自俄羅斯的威脅行為者利用這個(gè)漏洞來攻擊歐洲的政府、交通、能源和軍事部門。此漏洞的嚴(yán)重程度為9.8（嚴(yán)重）。微軟已經(jīng)發(fā)布了一個(gè)補(bǔ)丁版本來解決這個(gè)漏洞。

Fortinet FortiOS路徑遍歷漏洞

2023年3月，Fortinet官方發(fā)布了一份安全公告，修復(fù)了FortiOS中的一個(gè)路徑遍歷漏洞（CVE-2022-41328）。此漏洞的嚴(yán)重程度為7.1（高危），且已被一個(gè)網(wǎng)絡(luò)間諜組織用于攻擊政府。

由于對(duì)路徑名限制不當(dāng)，FortiOS多個(gè)版本中均存在該漏洞，包括FortiOS 6.0所有版本、FortiOS 6.2所有版本、6.4.0 <= FortiOS 版本<= 6.4.11、7.0.0 <= FortiOS 版本<= 7.0.9、7.2.0 <= FortiOS版本<= 7.2.3。該漏洞允許特權(quán)威脅參與者通過精心制作的CLI命令在底層系統(tǒng)上讀取和寫入任意文件。

目前該漏洞已經(jīng)修復(fù)，受影響用戶可升級(jí)到以下版本：

• FortiOS版本>= 6.4.12；
• FortiOS版本>= 7.0.10；
• FortiOS版本>= 7.2.4

ChatGPT Off-by-one漏洞

off-by-one指程序向緩沖區(qū)中寫入時(shí)，寫入的字節(jié)數(shù)超過了這個(gè)緩沖區(qū)本身所申請(qǐng)的字節(jié)數(shù)并且只越界了一個(gè)字節(jié)。

ChatGPT Off-by-one漏洞（CVE-2023-28858）存在于4.5.3之前的ChatGPT版本的redis-py中，如果兩個(gè)用戶同時(shí)處于活動(dòng)狀態(tài)，則允許用戶查看其他人的聊天歷史記錄。此外，OpenAI表示，“在這個(gè)漏洞存在期間，有1.2%的ChatGPT Plus活躍用戶的支付相關(guān)信息可能無意中被看到?！?/span>

OpenAI在接到通知后已經(jīng)迅速修補(bǔ)了這個(gè)漏洞。此漏洞的嚴(yán)重程度為3.7（低危）。

Windows通用日志文件系統(tǒng)（CLFS）驅(qū)動(dòng)程序權(quán)限升級(jí)漏洞

通用日志文件系統(tǒng)（CLFS）是一個(gè)通用目的的日志文件系統(tǒng)，它可以從內(nèi)核模式或用戶模式的應(yīng)用程序訪問，用以構(gòu)建一個(gè)高性能的事務(wù)日志。

Windows CLFS驅(qū)動(dòng)程序權(quán)限升級(jí)漏洞（CVE-2023-28252）造成了大規(guī)模的數(shù)字混亂，影響所有受支持的Windows服務(wù)器和客戶端版本，并且可以由本地攻擊者在低復(fù)雜性攻擊中進(jìn)行操縱，而無需任何用戶交互。成功利用該漏洞允許威脅行為者獲得系統(tǒng)權(quán)限，本質(zhì)上是支持他們完全入侵目標(biāo)Windows系統(tǒng)。

火上澆油的是，IT 安全咨詢公司Fortra的安全研究人員發(fā)布了CVE-2023-28252漏洞的技術(shù)細(xì)節(jié)和概念驗(yàn)證（PoC）漏洞利用代碼，該漏洞可升級(jí)為系統(tǒng)權(quán)限。

據(jù)悉，Nokoyawa勒索軟件組織已于2023年4月積極利用這一漏洞攻擊組織。此漏洞的嚴(yán)重程度為7.8（高危）。微軟已經(jīng)發(fā)布了補(bǔ)丁來修復(fù)這個(gè)漏洞。

Barracuda電子郵件安全網(wǎng)關(guān)REC漏洞

2023年5月23日，Barracuda Networks披露了其電子郵件安全網(wǎng)關(guān)（ESG）設(shè)備中的一個(gè)零日漏洞（CVE-2023-2868）。調(diào)查顯示，該遠(yuǎn)程命令注入漏洞早在2022年10月就已被利用。

由于在處理.tar文件時(shí)操作不當(dāng)，Barracuda Email安全網(wǎng)關(guān)版本5.1.3.001-9.2.0.006中均存在此漏洞。威脅參與者可以利用此漏洞并使用產(chǎn)品權(quán)限執(zhí)行系統(tǒng)命令。

據(jù)悉，該漏洞已被網(wǎng)絡(luò)間諜組織用于從事間諜活動(dòng)和其他活動(dòng)。此漏洞的嚴(yán)重程度為9.8（嚴(yán)重）。Barracuda Networks已經(jīng)針對(duì)此漏洞發(fā)布了補(bǔ)丁。

Adobe ColdFusion任意代碼執(zhí)行漏洞

Adobe ColdFusion是美國Adobe公司的一款動(dòng)態(tài)Web服務(wù)器產(chǎn)品。

2023年3月，Adobe發(fā)布ColdFusion安全更新，修復(fù)了ColdFusion 2018和2021中的多個(gè)安全漏洞。其中，Adobe ColdFusion訪問控制不當(dāng)漏洞（CVE-2023-26360）嚴(yán)重程度為9.8（嚴(yán)重），允許惡意行為者在未經(jīng)身份驗(yàn)證的情況下利用該漏洞執(zhí)行任意代碼，而無需用戶交互。

據(jù)悉，此漏洞（CVE-2023-26360）影響Adobe ColdFusion版本2018 Update 15（及更早版本）和2021 Update 5（及更早版本）。調(diào)查顯示，一個(gè)未知的威脅行為者在2023年6月和7月利用了這個(gè)漏洞。

Citrix Bleed漏洞

Citrix Bleed漏洞（CVE 2023-4966）存在于多個(gè)版本的Citrix NetScaler ADC和Gateway設(shè)備中，允許威脅行為者檢索受影響設(shè)備上的敏感信息。要利用該漏洞，需要將設(shè)備配置為網(wǎng)關(guān)（虛擬服務(wù)器、ICA代理、CVPN、RDP代理）或授權(quán)和計(jì)費(fèi)（AAA）虛擬服務(wù)器。未授權(quán)的遠(yuǎn)程攻擊者可通過利用此漏洞，竊取敏感信息。

LockBit 3.0勒索軟件組織在2023年11月積極利用了這個(gè)漏洞。

此漏洞的嚴(yán)重程度為7.5（高危）。針對(duì)此漏洞存在公開可用的利用代碼，并且發(fā)現(xiàn)了幾個(gè)利用實(shí)例。Citrix已經(jīng)發(fā)布了補(bǔ)丁來修復(fù)這個(gè)漏洞。

Windows SmartScreen安全功能繞過漏洞

威脅參與者可以通過傳遞繞過Web標(biāo)記（MOTW）警告的惡意MSI文件來利用此漏洞（CVE-2023-24880），潛在地將惡意軟件部署到系統(tǒng)中。這個(gè)漏洞已被Magniber勒索軟件和Qakbot惡意軟件攻擊者積極用于攻擊活動(dòng)中。

此漏洞的嚴(yán)重程度為4.4（中危）。此外，該漏洞繞過了先前在Windows SmartScreen上發(fā)現(xiàn)的漏洞。微軟已經(jīng)發(fā)布了補(bǔ)丁來修復(fù)這個(gè)漏洞。

SugarCRM遠(yuǎn)程代碼執(zhí)行漏洞

此漏洞（CVE-2023-22952）存在于SugarCRM的電子郵件模板中，具有任何用戶權(quán)限的威脅行為者可以使用特制的請(qǐng)求利用該漏洞。由于缺少輸入驗(yàn)證，威脅參與者還可以注入自定義PHP代碼。

此漏洞的嚴(yán)重程度為8.8（高危）。許多SugarCRM 11.0和12.0產(chǎn)品均受到此漏洞的影響。不過，好在SugarCRM已經(jīng)發(fā)布了補(bǔ)丁來修復(fù)這個(gè)漏洞。

除了上述列表之外，今年還發(fā)現(xiàn)了許多關(guān)鍵漏洞。建議使用這些產(chǎn)品的用戶升級(jí)到最新版本，以防止這些漏洞被威脅參與者濫用。

原文標(biāo)題：Top 10 Vulnerabilities That Were Exploited the Most In 2023，作者：Cyber Writes Team