据安全公司 Qualys 发布的《2023 年网络威胁安全回顾》报告数据显示,2023 年全球共披露了 26447 个计算机漏洞,为“历年之最”,相比去年的 25050 个漏洞,同比增长5.2%。在已披露的漏洞中,超过 7000 个漏洞具有“概念验证利用代码”,易被黑客用于实际攻击,其中更有 115 个漏洞已经被黑客“广泛利用”,虽然不及整体漏洞数量 1%,但已经十分危险。
更糟糕的是,这些攻击者的技术在不断进步,屡屡创造出新的攻击方式,针对社会重点行业发起猛烈攻击,造成了巨大的经济损失。过去一年发生的数千起数据泄漏、勒索攻击等安全事件清楚地表明,安全漏洞利用已经成为威胁攻击者最常用的攻击途径,需要高度重视和有效应对。
接下来,本文从漏洞的危害程度、影响范围和利用途径出发,深入盘点 2023 年最危险的 Top 10 ,旨在提高公众对安全漏洞问题的认识和警觉性,帮助企业和个人更好地保护自身的信息和资产。
1、Microsoft Outlook 安全漏洞
CVE 编号:CVE-2023-23397
漏洞严重程度(CVSS 得分 9.8 分)
入选理由:在几乎无处不在的 Outlook 应用程序中,漏洞允许威胁攻击者在窃取用户的 Net-NTLMv2 哈希,被包括 APT 28 在内的黑客组织已经大规模利用。
Microsoft Outlook 是一款邮件管理软件,是微软公司的产品之一,具有日历、任务列表、联系人管理等功能。2023 年 3 月,研究人员发现 Microsoft Outlook 存在安全漏洞 CVE-2023-23397,威胁攻击者能够通过发送特制的电子邮件,在 Outlook 客户端检索和处理时自动触发,导致受害目标连接到攻击者控制的外部 UNC 位置。
这会将受害者的 Net-NTLMv2 散列泄露给攻击者,然后攻击者可以将其中继到另一个服务并作为受害者进行身份验证、成功利用此漏洞的威胁攻击者可以访问用户的 Net-NTLMv2 哈希值,该哈希值可用作针对另一项服务的 NTLM 中继攻击的基础,以验证用户身份。
Microsoft Outlook 2016,2013,Microsoft Office 2019,Microsoft 365 Apps for Enterprise,Microsoft Office LTSC 2021均受该漏洞影响。
APT28 威胁组织自 2022 年 4 月以来一直在利用该漏洞,通过特制的 Outlook 笔记窃取 NTLM 哈希值,迫使目标设备在不需要用户交互的情况下向攻击者控制的 SMB 共享进行身份验证。此外,利用该漏洞提升权限,该组织可在受害目标的环境中进行横向移动,并更改 Outlook 邮箱权限,从而实施有针对性的电子邮件盗窃。更糟糕的是,尽管后来提供了安全更新和缓解建议,但仍然存在很大的攻击面。
Recorded Future 在 6 月份警告说,APT28 威胁组织很可能利用 Outlook 漏洞攻击乌克兰的重要组织,10 月份,法国网络安全局(ANSSI)又披露俄罗斯黑客利用该漏洞攻击了法国的政府实体、企业、大学、研究机构和智库。
官方补丁:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
2、Adobe ColdFusion 代码问题漏洞
CVE 编号:CVE-2023-29300
漏洞严重程度(CVSS 得分 9.8 分)
入选理由:未经身份验证的远程威胁攻击者通过构造恶意数据包进行反序列化攻击,最终实现在目标系统上执行任意代码,目前漏洞已经被发现在野被广泛利用。
Adobe ColdFusion 是一种用于构建动态 Web 应用程序的服务器端编程语言和开发平台,由 Adobe Systems 开发和维护,并使用 Java 虚拟机(JVM)作为其运行环境,ColdFusion 支持多种编程语言,包括CFML(ColdFusion标记语言)、JavaScript、Java、.NET 和其他 Web技术,如 HTML、CSS 和 SQL。
2023 年 7 月,CrowdStrike 的安全研究员 Nicolas Zilio发现 CVE-2023-29300 安全漏洞,受影响版本包括Adobe ColdFusion 2018 <= Update 16、Adobe ColdFusion 2021 <= Update 6、Adobe ColdFusion 2023 = GA Release (2023.0.0.330468)等。鉴于 Adobe ColdFusion 对反序列化安全检查存在 CVE-2023-29300 安全漏洞,未经身份验证的远程威胁攻击者通过构造恶意数据包进行反序列化攻击,最终可实现在目标系统上执行任意代码。
数据显示, 在全球范围内共 48.5 万个目标设备受到 CVE-2023-29300 安全漏洞影响,其中第一名美国 32.5+个,第二名加拿大 4+ 万个,第三名德国1.6 +万个,多个业内知名黑客组织正在利用漏洞,谋划网络攻击活动。
官方补丁:https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html
3、GitLab 任意文件读取漏洞
CVE 编号:CVE-2023-2825
漏洞严重程度(CVSS 得分 10分)
入选理由:一旦威胁攻击者成功利用 CVE-2023-2825 漏洞,包括专有软件代码、用户凭证、令牌、文件和其他私人信息在内的敏感数据都可能被窃取。
GitLab 是管理 Git 存储库的平台,主要提供免费的公共和私人存储库,问题跟踪和维基,不仅如此, GitLab 还提供了自己的持续集成(CI)系统来管理项目,并提供用户界面以及 GitLab 的其他功能。目前已拥有约 3000 万名已注册用户以及 100 万名付费客户。
一位名叫 pwnie 的安全研究人员在 GitLab 中发现 CVE-2023-2825 安全漏洞,随后在 GitLab 的 HackOne 漏洞奖励计划中报告了这个安全问题。据悉,该漏洞影响 GitLab社区版(CE)和企业版(EE)的 16.0.0 版本。
CVE-2023-2825 漏洞源于路径遍历问题,当一个附件存在于至少五个组内嵌套的公共项目中时,未经认证的威胁攻击者可以轻松在服务器上读取任意文件。此外,利用 CVE-2023-2825 漏洞还可能会暴露包括专有软件代码、用户凭证、令牌、文件和其他私人信息在内的敏感数据。
威胁攻击者可以读取服务器上的任意文件,例如配置文件、密钥文件、日志文件等,造成信息泄露或进一步的攻击。安全研究人员通过长时间追踪发现,全球共 40 多万个使用记录,其中中国接近 17 万个,德国 5 +万个,美国接近 5 万个。
官方补丁:https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/
4、Cisco IOS XE Software 安全漏洞
CVE 编号:CVE-2023-20198
漏洞严重程度(CVSS 得分 10 分)
入选理由: CVE-2023-20198 漏洞允许威胁攻击者获得设备中最高等级的 Level 15 权限,可以在受害目标系统内做“任何事”!
Cisco IOS XE Software 是美国思科(Cisco)公司的一个操作系统,用于企业有线和无线访问,汇聚,核心和WAN的单一操作系统,Cisco IOS XE 降低了业务和网络的复杂性。
研究人员发现 Cisco IOS XE Software 存在一个高危安全漏洞 CVE-2023-20198 ,该漏洞源于命令授权限制不足。当 Cisco IOS XE 软件的 web UI 暴露于互联网或不受信任的网络时,未经身份验证的远程威胁攻击者可以利用该漏洞在受影响的系统上创建具有 15 级访问权限的帐户,攻击者可以利用该帐户来控制受影响的系统。(思科 IOS 系统的权限级别 15 基本上意味着可以完全访问所有命令,包括重载系统和更改配置的命令。)
更糟糕的是,威胁攻击者通过 CVE-2023-20198 漏洞创建的本地账户具有持久性,即使管理员重启设备,威胁攻击者依旧能够继续获得受影响系统的管理员级访问权限。研究人员敦促企业注意 IOS XE 设备上的新用户或未知用户,这是攻击者利用该漏洞的潜在证据。同时,思科塔洛斯团队还提供了一个命令程序,企业可使用该命令确定受影响设备上是否存在该植入。
CVE-2023-20198 漏洞已导致多国的“重要企业“遭到黑客攻击,根据 Censys 和 LeakX 的数据来看,估计有超过 41000 台运行易受攻击的 IOS XE 软件的思科设备已被利用漏洞的威胁攻击者破坏。
官方补丁:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
5、Atlassian Confluence Server 安全漏洞
CVE 编号:CVE-2023-22515
漏洞严重程度(CVSS 得分 10 分)
入选理由:在无需用户交互的复杂度较低的情况下,威胁攻击者可轻易利用漏洞创建管理员帐户。
Atlassian Confluence Server 是澳大利亚 Atlassian 公司的一套具有企业知识管理功能,并支持用于构建企业WiKi 的协同软件的服务器版本。 2023 年 10 月,安全专家在 Atlassian Confluence Server 中发现安全漏洞 CVE-2023-22515,影响 800--804810--814820--823830--832840--82850--8.5.1 等多个版本。根据 CVSS 严重性评级系统,漏洞被评为 10.0 分。
外部威胁攻击者可能利用 CVE-2023-22515 漏洞公开访问 Confluence Data Center 和 Confluence Serve,微软的威胁情报团队指出,自 2023 年 9 月 14 日以来,已经观察到 CVE-2023-22515 漏洞在野外被威胁攻击者大规模滥用。
CVE-2023-22515 安全漏洞在全球范围内共约有 5 万个使用记录,其中中国1.5+万个,美国和德国接近 1 万个。更糟糕的是,威胁攻击者可以利用任何与易受攻击应用程序有网络连接的设备来利用 CVE-2023-22515 安全漏洞,在应用程序中创建一个 Confluence 管理员账户。
官方补丁:https://confluence.atlassian.com/pages/viewpage.action?pageId=1295682276
6、Apache ActiveMQ 远程代码执行漏洞
CVE 编号: CVE-2023-46604
漏洞严重程度(CVSS 得分 10 分)
入选理由:CVE-2023-46604 漏洞允许攻击者通过利用 OpenWire 协议中的序列化类类型来执行任意 shell 命令,研究人员发现漏洞被 Kinsing 恶意软件和加密货币矿工多次利用,Kinsing还使用它来下载和安装恶意软件。
Apache ActiveMQ 是最流行的开源、多协议、基于 Java 的消息代理。它支持行业标准协议,用户可以在各种语言和平台上获得客户端选择的好处,用 JavaScript、C、C++、Python、.Net 编写的客户端连接等,使用无处不在的 AMQ P协议集成多平台应用程序,通过 websockets 使用 STOMP 在 web 应用程序之间交换消息。
2023 年 10 月份,在 Apache ActiveMQ 发布的新版本中修复了一个远程代码执行漏洞 CVE-2023-46604。该漏洞是由于在 BaseDataStreamMarshaller 方法中未对接收的数据进行必要的检查,威胁攻击者可通过构造恶意数据包通过默认的 61616 端口利用该漏洞,最终在服务器上实现远程代码执行。
受影响的 Apache Active MQ 和 Legacy OpenWire Module 应用版本是 5.18.0<=Apache ActiveMQ<5.18.3、5.17.0<=Apache ActiveMQ<5.17.6、5.16.0<=Apache ActiveMQ<5.16.7、5.15.0<=Apache ActiveMQ<5.15.15。
据悉,Kinsing 恶意软件以及 HelloKitty 勒索软件等背后的黑客组织一直积极利用 CVE-2023-46604 漏洞。威胁攻击者利用安全漏洞来进行针对 Linux 系统的攻击和推送 TellYouThePass 勒索软件的初始访问,中国、美国、德国、印度、荷兰、俄罗斯、法国和韩国等国家成为了攻击者主要目标。
官方补丁:https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt
7、Citrix NetScaler ADC 会话劫持及网关漏洞
CVE 编号:CVE-2023-4966
漏洞严重程度(CVSS 得分 9.4 分)
入选理由:DP World、Allen & Overy和波音等多家知名巨头公司都受到了 CVE-2023-4966 安全漏洞的影响,Lockbit 等臭名昭著的勒索软件一直在积极利用漏洞。
Citrix NetScaler ADC(Application Delivery Controller)是一个高级的负载均衡器和网络性能优化解决方案。2023 年 10 月 10 日,安全研究人员发现并披露 Citrix Bleed CVE-2023-4966 漏洞。
据悉, CVE-2023-4966 漏洞影响 NetScaler ADC 和 NetScaler Gateway 14.1版本之前的14.1-8.50、NetScaler ADC 和 NetScaler Gateway 13.1 版本之前的 13.1-49.15、NetScaler ADC 和 NetScaler Gateway 13.0 版本之前的 13.0-92.19、NetScaler ADC 13.1-FIPS版本之前的13.1-37.164、NetScaler ADC 12.1-FIPS版本之前的12 等多个版本的 Citrix NetScaler ADC 和 NetScaler Gateway 产品。
2023 年 8 月下旬,网络安全研究人员持续发现 CVE-2023-4966 漏洞在野被利用,根据攻击事件中成功利用CVE-2023-4966的结果,这个漏洞会导致 NetScaler ADC 和网关设备上的合法用户会话被接管,会话接管绕过了密码和多重身份验证。威胁攻击者使用特制的 HTTP GET 请求,迫使目标设备返回身份验证后和 MFA 检查后发布的有效 Netscaler AAA 会话 cookie 等系统内存内容,在窃取这些验证 cookie 后,网络攻击者可以无需再次执行 MFA 验证,便可访问设备。
更糟糕的是,CVE-2023-4966 漏洞被业内臭名昭著 LockBit 勒索软件盯上了,研究人员发现疑似 LockBit 勒索软件组织正在利用其发起网络攻击攻击活动,通过越界窃取 cookie 等敏感信息,从而绕过身份验证,获取系统权限,然后植入勒索病毒进行勒索攻击。
官方补丁:https://support.citrix.com/article/CTX579459
8、MoveIT SQL 注入漏洞
CVE 编号:CVE-2023-34362
漏洞严重程度(CVSS 得分 10 分)
入选理由:包括美国、中国、德国在内的 1500 多万设备可能受到漏洞影响。
MoveIT 是 MoveIT 公司的一款针对机械臂移动操作的最先进的软件。2023 年 5 月底,旗下产品 Progress MOVEit Transfer 被曝存在 SQL 注入漏洞 CVE-2023-34362,受影响的产品和版本: Progress MOVEit Transfer 2021.0.6 (13.0.6)之前版本,2021.1.4 (13.1.4)版本, 2022.0.4 (14.0.4)版本, 2022.1.5 (14.1.5)版本, 2023.0.1 (15.0.1)版本。
CVE-2023-34362 安全漏洞允许未经身份验证的远程威胁攻击者利用其获得对数据库的访问,根据使用的数据库引擎(MySQL, Microsoft SQL Server,或Azure SQL),威胁攻击者可利用该漏洞可能能够推断有关数据库的结构和内容的信息,或执行 SQL 语句,修改或删除数据库元素,通过手工字符串发送到唯一的MOVEit Transfer 事务类型。
CVE-2023-34362 安全漏洞在全球范围内被各个威胁攻击者广泛利用,通过资产测绘系统 zoomeye 平台发现,目前公网披露 Progress 产品全球共 15365823 个使用记录,其中美国 4306551个、中国 1596918个、德国 1072761 个。
官方补丁:https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
9、苹果处理器集群后门
CVE 编号:CVE-2023-32434、CVE-2023-32435、CVE-2023-38606、CVE-2023-41990
入选利用:威胁攻击者利用漏洞链,发动了对俄罗斯 iPhone 手机用户长达四年的监视,是历史上最复杂的间谍软件攻击之一。
2023 年末,卡巴斯基安全研究人员 Boris Larin 发布了 可能是 iPhone 史上复杂程度最高、影响最广泛的的间谍软件攻击之一的三角测量 Triangulation 的详细情况细节。(业内人士认为 自 2019 年以来,Triangulation 攻击一直被用来监听 iPhone 用户。
卡巴斯基对三角测量的跟踪要追溯到 2023 年 6 月。当时,俄罗斯政府首次曝光了大规模的 iPhone 后门活动,威胁攻击者利用三角测量攻击感染了大量俄罗斯外交使团和数千名使馆工作人员的 iPhone。随后,卡巴斯基方面的研究人员开始对其进行深入分析发现,威胁攻击者在三角测量攻击中使用了多达四个零日漏洞漏洞详情如下:
CVE-2023-32434,CVSS评分: 7.8分,内核中的整数溢出漏洞,恶意应用程序可利用该漏洞以内核权限执行任意代码;CVE-2023-32435,CVSS评分: 8.8分,Webkit 中的内存损坏漏洞,在处理特制的 Web 内容时可能导致任意代码执行;CVE-2023-38606,CVSS评分: 5.5分,Apple kernel 安全特性绕过漏洞,攻击者使用恶意应用程序利用该漏洞能够修改敏感的内核状态,从而可能控制设备;CVE-2023-41990,CVSS评分: 7.8分,该漏洞是处理字体文件的过程中可能导致任意代码执行,是该漏洞利用链“初始入口点”;
这些漏洞组合在一起形成了一个零点击漏洞链,威胁攻击者可以利用其提升自身权限、执行远程代码执行命令,甚至可以完全控制设备和用户数据,导致无需任何用户交互即可执行代码,并从攻击者的服务器下载其他恶意软件。在四年时间里,威胁攻击者疯狂的袭击了 iOS 16.2 之前的所有 iOS 版本,不仅涉及到 iPhone,还包括 Mac、iPod、iPad、Apple TV 和 Apple Watch 等。
10、TETRA 漏洞集群后门
CVE 编号:CVE-2022-24401、CVE-2022-24402、CVE-2022-24404、CVE-2022-24403与CVE-2022-24400
入选理由:后门存在于关键基础设施中用于商业用途的无线电中加密算法中,主要用于管道、铁路、电网、公共交通和货运列车中传输加密数据和命令,几乎影响所有使用 TETRA 协议的国家。
三名荷兰安全研究人员在名为 TETRA(地面集群无线电)的欧洲无线电标准中发现了五个漏洞。威胁攻击者能够轻松利用漏洞干预军警或关键基础设施的无线通信,这也是 20 年来首个针对 TETRA 标准的安全研究。
TETRA 是在 1995 年由欧洲电信标准协会(European Telecommunications Standards Institute,ETSI)所制定的无线通信标准,被广泛应用于全球超过 100 个国家,也是美国地区之外最普及的警用无线电通信系统。TETRA 基于许多密码学算法之上,涵盖 TETRA 身份认证算法 TAA1,以及从 TEA1 到 TEA4 的TETRA 加密算法组件,其中的 TEA1 与 TEA4 可供商业使用,TEA2 与 TEA3 则是专供紧急服务使用。
TETRA 中发现5个安全漏洞,分别是 CVE-2022-24401、CVE-2022-24402、CVE-2022-24404、CVE-2022-24403 与 CVE-2022-24400。前两个属于重大(Critical)漏洞,CVE-2022-24401 漏洞起因于用来生成无线通信空中接口加密密钥的 Air Interface Encryption(AIE)系统,所依赖的网络时间是公开广播的,可能引发解密预言攻击;涉及 TEA1 算法的 CVE-2022-24402 漏洞则可将原本 80 位的密钥,缩短成可于几分钟之内成功暴力破解的长度。
TETRA 漏洞危害极大,研究人员一再强调任何使用无线电技术的组织都应立刻向其制造商询问,以确定其自身部署的设备是否使用了 TETRA 标准,以及有哪些可用的修复或缓解措施。