譯者 | 晶顏

審校 | 重樓

零日漏洞在2024年再次大幅增長。由于沒有可用的補(bǔ)丁，零日漏洞為攻擊者提供了突破網(wǎng)絡(luò)安全防線的利刃，使其成為攻擊企業(yè)系統(tǒng)的關(guān)鍵武器。

雖然所有的零日漏洞對于首席信息安全官（CISO）及其團(tuán)隊來說都是至關(guān)重要的，對于供應(yīng)商來說也都需要及時進(jìn)行補(bǔ)救，但有些零日漏洞利用活動卻清晰地揭示了攻擊者對目標(biāo)的偏好趨勢。

以下是CISO及其安全團(tuán)隊?wèi)?yīng)該注意的一些關(guān)鍵趨勢，這些趨勢是基于今年不斷增加的零日漏洞利用總結(jié)的。它們每一項都因其突出性、創(chuàng)新性或?qū)I(yè)務(wù)資產(chǎn)的實際影響而顯得至關(guān)重要。

1.針對網(wǎng)絡(luò)安全設(shè)備的零日攻擊增加

VPN網(wǎng)關(guān)、防火墻、郵件安全網(wǎng)關(guān)、負(fù)載均衡系統(tǒng)等網(wǎng)絡(luò)邊緣設(shè)備的攻擊速度在今年急速飆升。鑒于其強(qiáng)大的功能、特權(quán)的網(wǎng)絡(luò)位置以及其所有者對底層代碼和操作系統(tǒng)的有限可見性，這些設(shè)備已經(jīng)成為進(jìn)入企業(yè)網(wǎng)絡(luò)的理想入口點。

今年年初，Ivanti Connect Secure和Ivanti Policy Secure（一個SSL VPN和一個網(wǎng)絡(luò)訪問控制解決方案）中出現(xiàn)了兩個零日漏洞。其中一個漏洞（CVE-2023-46805）允許身份驗證繞過；第二個漏洞（CVE-2024-21887）則允許在底層操作系統(tǒng)中注入命令。這兩個漏洞被一個國家行為體組織結(jié)合在一個利用鏈中利用。

2024年的關(guān)鍵零日漏洞利用還包括：

• Citrix NetScaler ADC和NetScaler網(wǎng)關(guān)（CVE-2023-6548，代碼注入；CVE-2023-6549，緩沖區(qū)溢出）；
• Ivanti Connect Secure（CVE-2024-21893，服務(wù)器端請求偽造）；
• Fortinet FortiOS SSL VPN（CVE-2024-21762，任意代碼執(zhí)行漏洞）；
• Palo Alto Networks PAN-OS（CVE-2024-3400，命令注入）；
• Cisco Adaptive Security Appliance（CVE-2024-20359，任意代碼執(zhí)行；CVE-2024-20353，拒絕服務(wù)漏洞）；
• Check Point量子安全網(wǎng)關(guān)和CloudGuard網(wǎng)絡(luò)安全（CVE-2024-24919，導(dǎo)致信息泄露的路徑遍歷）；
• Cisco NX-OS交換機(jī)（CVE-2024-20399，CLI命令注入）；
• Versa Networks Director（CVE-2024-39717，任意文件上傳和執(zhí)行）；
• Ivanti云服務(wù)設(shè)備（CVE-2024-8963，路徑遍歷導(dǎo)致遠(yuǎn)程代碼執(zhí)行）；
• Ivanti云服務(wù)設(shè)備（CVE-2024-9381，路徑遍歷，與CVE-2024-8963結(jié)合成利用鏈）；
• Ivanti云服務(wù)設(shè)備（CVE-2024-9379， SQL注入導(dǎo)致應(yīng)用程序接管，與CVE-2024-8963結(jié)合成利用鏈）；
• Ivanti云服務(wù)設(shè)備（CVE-2024-9380，操作系統(tǒng)指令注入，與CVE-2024-8963結(jié)合成利用鏈）；
• Fortinet FortiManager漏洞（CVE-2024-47575，缺少認(rèn)證導(dǎo)致整個系統(tǒng)泄露）；
• Cisco Adaptive Security Appliance（CVE-2024-20481，遠(yuǎn)程訪問VPN拒絕服務(wù)漏洞）；
• Palo Alto PAN-OS（CVE-2024-0012，身份繞過，與CVE-2024-9474結(jié)合成利用鏈導(dǎo)致命令注入）。

更糟糕的是，其他已修復(fù)（N-days）的已知漏洞也繼續(xù)在未打補(bǔ)丁的網(wǎng)絡(luò)邊緣設(shè)備和設(shè)備中被廣泛濫用，使這些系統(tǒng)成為2024年攻擊者的首要目標(biāo)之一，尤其是國家支持的網(wǎng)絡(luò)間諜組織。

2.遠(yuǎn)程監(jiān)控和管理（RMM）仍是一個成熟的目標(biāo)

攻擊者——尤其是為勒索軟件組織工作的初始訪問代理——習(xí)慣性地濫用遠(yuǎn)程監(jiān)控和管理（RMM）產(chǎn)品來保持對公司網(wǎng)絡(luò)的持久性，同時也侵入它們。

早在2021年，REvil勒索軟件組織就利用了Kaseya VSA服務(wù)器中的一個漏洞，Kaseya VSA服務(wù)器是許多托管服務(wù)提供商（MSP）使用的遠(yuǎn)程管理平臺。2024年2月，攻擊者又利用了另一個廣泛使用的RMM工具ConnectWise ScreenConnect中的兩個零日漏洞。

這些漏洞被追蹤為CVE-2024-1708和CVE-2024-1709，分別是一個路徑遍歷和身份驗證繞過漏洞。這些漏洞允許攻擊者訪問初始設(shè)置向?qū)Р⒃诖诉^程中重置管理密碼。通常情況下，安裝向?qū)?yīng)該只運行一次，并在應(yīng)用程序設(shè)置完成后受到保護(hù)。

3.托管文件傳輸受到攻擊

勒索軟件團(tuán)伙還習(xí)慣以企業(yè)托管文件傳輸（MFT）軟件為目標(biāo)，以獲取企業(yè)網(wǎng)絡(luò)的初始訪問權(quán)限。去年12月，攻擊者開始利用Cleo LexiCom、VLTrader和Harmony這三款企業(yè)文件傳輸產(chǎn)品中的任意文件寫入漏洞。

該漏洞現(xiàn)在被追蹤為CVE-2024-55956，類似于10月份在同一Cleo產(chǎn)品中修補(bǔ)的另一個漏洞（CVE-2024-50623），后者允許任意文件寫入和文件讀取。然而，根據(jù)Rapid7研究人員的說法，即使這兩個漏洞位于代碼庫的同一部分，并且可以通過相同的端點訪問，但它們是不同的，也不需要組合成利用鏈來發(fā)揮作用。

攻擊者可以利用CVE-2024-55956將惡意文件寫入應(yīng)用程序的Autorun目錄，然后利用內(nèi)置功能執(zhí)行其文件并下載額外的惡意軟件有效負(fù)載。

2023年，數(shù)千家企業(yè)使用的MFT產(chǎn)品MOVEit Transfer中的一個零日SQL注入漏洞（CVE-2023-34362）被Cl0p勒索軟件團(tuán)伙利用，從眾多組織竊取數(shù)據(jù)。今年，在同一產(chǎn)品中又發(fā)現(xiàn)了兩個關(guān)鍵的身份驗證繞過漏洞（CVE-2024-5806和CVE-2024-5805），這引發(fā)了人們對新一波利用即將到來的擔(dān)憂，尤其是在該勒索軟件組織之前針對的就是MFT產(chǎn)品的情況下。

在2023年1月，Cl0p團(tuán)伙利用了GoAnywhere MFT中的一個零日遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2023-0669），并聲稱竊取了130個組織的數(shù)據(jù)，而在2020年，同一組織的成員利用了Accellion文件傳輸設(shè)備中的一個零日漏洞（CVE-2021-27101）。

4.CI/CD缺陷對攻擊者極具吸引力

攻擊者也在尋找CI/CD工具中的漏洞，因為它們不僅提供了進(jìn)入企業(yè)網(wǎng)絡(luò)的入口點，而且一旦暴露在互聯(lián)網(wǎng)上，還會增加破壞軟件開發(fā)管道的可能性，從而導(dǎo)致軟件供應(yīng)鏈攻擊。其中一次備受矚目的攻擊就是2020年SolarWinds公司爆發(fā)的Orion軟件后門事件，該軟件當(dāng)時廣泛應(yīng)用于眾多私人組織和政府機(jī)構(gòu)。

2024年1月，研究人員在Jenkins中發(fā)現(xiàn)了一個可能導(dǎo)致代碼執(zhí)行的路徑遍歷漏洞（CVE-2024-23897）。該漏洞被評為高危漏洞，根源在于該軟件解析命令行界面（CLI）命令的方式。

雖然補(bǔ)丁在公開披露時可用，因此不是零日漏洞，但攻擊者很快就采用了它，早在3月份就有跡象表明該漏洞已被濫用。今年8月，在勒索軟件組織開始利用該漏洞侵入企業(yè)網(wǎng)絡(luò)并竊取敏感數(shù)據(jù)后，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）將該漏洞添加到其已知利用漏洞目錄中。

今年攻擊者利用的另一個N天CI/CD漏洞是CVE-2024-27198，這是JetBrains TeamCity（構(gòu)建管理和持續(xù)集成服務(wù)器）中的一個身份驗證繞過問題。該漏洞可能導(dǎo)致完全的服務(wù)器接管和遠(yuǎn)程代碼執(zhí)行。

這并不是攻擊者第一次針對TeamCity，因為在2023年9月發(fā)現(xiàn)的另一個身份驗證繞過漏洞（CVE-2023-42793）很快便被朝鮮政府資助的黑客利用來破壞Windows環(huán)境，然后在整個2024年繼續(xù)被其他組織作為攻擊目標(biāo)。

5.供應(yīng)鏈妥協(xié)比比皆是

CI/CD缺陷并不是破壞開發(fā)或構(gòu)建環(huán)境以污染源代碼或引入后門的唯一方法。今年，研究人員發(fā)現(xiàn)了一個長達(dá)數(shù)年的滲透活動，一個惡意的開發(fā)人員使用假身份慢慢地獲得了一個開源項目的信任，并被添加為XZ Utils庫的維護(hù)者，XZ Utils庫是一個廣泛使用的開源數(shù)據(jù)壓縮庫。

這個名為Jia Tan的流氓開發(fā)人員慢慢地在XZ Utils代碼中添加了一個后門，該后門與SSH交互，目的是在系統(tǒng)上打開未經(jīng)授權(quán)的遠(yuǎn)程訪問。這個后門是偶然發(fā)現(xiàn)的——幸運的是，在木馬版本成為穩(wěn)定的Linux發(fā)行版之前。

該漏洞被追蹤為CVE-2024-3094，突出了開源生態(tài)系統(tǒng)中供應(yīng)鏈攻擊的風(fēng)險。在開源生態(tài)系統(tǒng)中，許多生產(chǎn)關(guān)鍵和廣泛使用的軟件庫的項目面臨人手和資金不足的情況，很可能在沒有經(jīng)過嚴(yán)格審查的情況下接受新開發(fā)人員的幫助。

去年12月，攻擊者利用GitHub Actions的腳本注入漏洞，對開源人工智能庫Ultralytics YOLO的PyPI版本進(jìn)行了入侵和后門攻擊。這類腳本注入漏洞利用了對GitHub Actions CI/CD服務(wù)的不安全使用，可能會影響許多托管在GitHub上的項目。

6.AI淘金熱開啟了新的攻擊可能性

為了急于將人工智能聊天機(jī)器人和機(jī)器學(xué)習(xí)模型測試并集成到業(yè)務(wù)工作流程中，組織正在其云基礎(chǔ)設(shè)施上部署各種與人工智能相關(guān)的框架、庫和平臺，但卻忽略了配置安全問題。除了配置錯誤之外，這些平臺還可能存在漏洞，使攻擊者能夠訪問敏感的知識產(chǎn)權(quán)，例如自定義AI模型和訓(xùn)練數(shù)據(jù)，或者至少為他們提供在底層服務(wù)器上的立足點。

Jupyter Notebooks是一個基于Web的交互式計算平臺，用于數(shù)據(jù)可視化、機(jī)器學(xué)習(xí)等，谷歌和AWS等云提供商將Jupyter Notebooks作為托管服務(wù)提供。但它經(jīng)常會淪為僵尸網(wǎng)絡(luò)的目標(biāo)，通過加密挖礦程序感染服務(wù)器。

今年，Windows版本的Jupyter Notebooks漏洞（CVE-2024-35178）讓未經(jīng)身份驗證的攻擊者泄露了運行服務(wù)器的Windows用戶的NTLMv2密碼哈希值。如果被破解，這個密碼可以用來使用該憑據(jù)對同一網(wǎng)絡(luò)上的其他機(jī)器執(zhí)行橫向移動。

去年11月，JFrog的研究人員宣布了他們分析機(jī)器學(xué)習(xí)工具生態(tài)系統(tǒng)的結(jié)果，結(jié)果是在15個不同的機(jī)器學(xué)習(xí)項目（包括服務(wù)器端和客戶端組件）中發(fā)現(xiàn)了22個漏洞。10月初，Protect AI報告了開源AI/ML供應(yīng)鏈中的34個漏洞，這些漏洞是通過其漏洞賞金計劃披露的。

諸如此類的研究工作強(qiáng)調(diào)，作為較新的項目，許多AI/ML框架從安全角度來看可能不夠成熟，或者沒有像其他類型的軟件那樣得到安全研究社區(qū)的同等審查。雖然這種情況正在改變，但隨著研究人員越來越多地研究這些工具，惡意攻擊者也在研究它們，似乎有足夠的漏洞留給他們?nèi)グl(fā)現(xiàn)。

7.繞過安全特性使攻擊更加有效

雖然組織應(yīng)該在修補(bǔ)工作中始終優(yōu)先考慮關(guān)鍵的遠(yuǎn)程代碼執(zhí)行漏洞，但值得記住的是，在實踐中，攻擊者也會利用對其攻擊鏈有用的不太嚴(yán)重的缺陷，例如特權(quán)升級或安全功能繞過漏洞。

今年，攻擊者利用了五個不同的零日漏洞，允許他們在執(zhí)行從互聯(lián)網(wǎng)下載的文件時繞過SmartScreen提示。它們包括CVE-2024-38217、CVE-2024-38213、CVE-2024-29988、 CVE-2024-21351和CVE-2024-21412。

Windows Defender SmartScreen是Windows內(nèi)置的文件信譽功能，它將帶有網(wǎng)絡(luò)標(biāo)記（mark -of- web，簡稱MOTW）標(biāo)志的文件視為可疑文件，從而向用戶顯示更具攻擊性的警報。

任何可以繞過此功能的技術(shù)對于通過電子郵件附件或drive-by下載分發(fā)惡意軟件的攻擊者都非常有用。近年來，勒索軟件組織尤其善于發(fā)現(xiàn)并利用SmartScreen繞過技術(shù)。

特權(quán)升級漏洞允許當(dāng)前用戶執(zhí)行的惡意代碼獲得系統(tǒng)上的管理級特權(quán)，這對于想要破壞整個系統(tǒng)的攻擊者來說也非常有用。據(jù)報道，今年Windows和Windows Server中有11個此類漏洞為零日漏洞，單Windows組件中就有5個零日遠(yuǎn)程代碼執(zhí)行漏洞。

原文標(biāo)題：Top 7 zero-day exploitation trends of 2024，作者：Lucian Constantin