审校 | 重楼
2023年,威胁行为者已经发现了大量漏洞,并积极利用这些漏洞进行恶意攻击,例如勒索软件、网络间谍、数据盗窃、网络恐怖主义和许多国家支持的活动。
一些漏洞已被添加到CISA的已知被利用漏洞(KEV)目录中,并被标记为亟需补丁的高危漏洞。Microsoft、Citrix、Fortinet、Progress和许多其他供应商的产品均受到了这些漏洞的影响。
概括来看,2023年最易被滥用的漏洞包括:
- MOVEit漏洞(CVE-2023-34362)
- Microsoft Outlook特权升级漏洞(CVE-2023-23397)
- Fortinet FortiOS漏洞(CVE-2022-41328)
- ChatGPT漏洞(CVE-2023-28858)
- Windows通用日志文件系统驱动程序权限升级漏洞(CVE-2023-28252)
- Barracuda邮件安全网关漏洞(CVE-2023-2868)
- Adobe ColdFusion漏洞(CVE-2023-26360)
- Citrix Bleed漏洞(CVE 2023-4966)
- Windows SmartScreen绕过漏洞(CVE-2023-24880)
- SugarCRM远程代码执行漏洞(CVE-2023-22952)
Progress MOVEit SQL注入漏洞
2023年5月,MOVEit Secure Managed File Transfer 软件中被曝存在一个严重的零日SQL注入漏洞(CVE-2023-34362)。由于该漏洞的严重性,CISA于2023年6月初发布了针对该漏洞的公告。
MOVEit Transfer是一款商业安全托管文件传输(MFT)软件解决方案,支持使用SFTP、SCP和HTTP的方式在组织及其客户之间安全移动和上传文件。
MOVEit Transfer受到该SQL注入漏洞的影响,可能允许未经身份验证的攻击者访问MOVEit Transfer的数据库。结构化查询语言(SQL)允许对关系数据库执行查询和命令。注入漏洞允许攻击者操纵这些查询来利用系统检索数据或进行更改。
在这种情况下,攻击者可以从原本受到保护的数据库中提取数据,执行自己的SQL查询,以及更改和删除数据。此漏洞(CVE-2023-34362)存在于易受SQL注入攻击的2021.0.6(13.0.6)、2021.1.4(13.1.4)、2022.0.4(14.0.4)、2022.1.5(14.1.5)和2023.0.1(15.0.1)之前的Progress MOVEit Transfer版本中。
据悉,该漏洞于2023年5月和6月被CL0P勒索软件组织滥用,政府、金融、媒体、航空和医疗机构等行业都受到了影响,数据被窃取。
此漏洞的严重性为9.8(严重)。Progress已经发布了修复此漏洞的补丁版本以及预防措施。
Microsoft Outlook特权提升漏洞
这一特权提升漏洞(CVE-2023-23397)存在于所有版本的Outlook客户端中,包括用于Android、iOS、Mac和Windows用户的Outlook。威胁参与者可以通过发送特制邮件来利用此漏洞,从而自动触发此漏洞利用。
此外,这是一个无需用户交互的“零点击”(zero-click)漏洞。成功利用此漏洞会泄露受害者的Net-NTLMv2散列,然后可以使用这些散列对其他系统执行中继攻击,并将威胁参与者身份验证为目标用户。
一个来自俄罗斯的威胁行为者利用这个漏洞来攻击欧洲的政府、交通、能源和军事部门。此漏洞的严重程度为9.8(严重)。微软已经发布了一个补丁版本来解决这个漏洞。
Fortinet FortiOS路径遍历漏洞
2023年3月,Fortinet官方发布了一份安全公告,修复了FortiOS中的一个路径遍历漏洞(CVE-2022-41328)。此漏洞的严重程度为7.1(高危),且已被一个网络间谍组织用于攻击政府。
由于对路径名限制不当,FortiOS多个版本中均存在该漏洞,包括FortiOS 6.0所有版本、FortiOS 6.2所有版本、6.4.0 <= FortiOS 版本<= 6.4.11、7.0.0 <= FortiOS 版本<= 7.0.9、7.2.0 <= FortiOS版本<= 7.2.3。该漏洞允许特权威胁参与者通过精心制作的CLI命令在底层系统上读取和写入任意文件。
目前该漏洞已经修复,受影响用户可升级到以下版本:
- FortiOS版本>= 6.4.12;
- FortiOS版本>= 7.0.10;
- FortiOS版本>= 7.2.4
ChatGPT Off-by-one漏洞
off-by-one指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。
ChatGPT Off-by-one漏洞(CVE-2023-28858)存在于4.5.3之前的ChatGPT版本的redis-py中,如果两个用户同时处于活动状态,则允许用户查看其他人的聊天历史记录。此外,OpenAI表示,“在这个漏洞存在期间,有1.2%的ChatGPT Plus活跃用户的支付相关信息可能无意中被看到。”
OpenAI在接到通知后已经迅速修补了这个漏洞。此漏洞的严重程度为3.7(低危)。
Windows通用日志文件系统(CLFS)驱动程序权限升级漏洞
通用日志文件系统(CLFS)是一个通用目的的日志文件系统,它可以从内核模式或用户模式的应用程序访问,用以构建一个高性能的事务日志。
Windows CLFS驱动程序权限升级漏洞(CVE-2023-28252)造成了大规模的数字混乱,影响所有受支持的Windows服务器和客户端版本,并且可以由本地攻击者在低复杂性攻击中进行操纵,而无需任何用户交互。成功利用该漏洞允许威胁行为者获得系统权限,本质上是支持他们完全入侵目标Windows系统。
火上浇油的是,IT 安全咨询公司Fortra的安全研究人员发布了CVE-2023-28252漏洞的技术细节和概念验证(PoC)漏洞利用代码,该漏洞可升级为系统权限。
据悉,Nokoyawa勒索软件组织已于2023年4月积极利用这一漏洞攻击组织。此漏洞的严重程度为7.8(高危)。微软已经发布了补丁来修复这个漏洞。
Barracuda电子邮件安全网关REC漏洞
2023年5月23日,Barracuda Networks披露了其电子邮件安全网关(ESG)设备中的一个零日漏洞(CVE-2023-2868)。调查显示,该远程命令注入漏洞早在2022年10月就已被利用。
由于在处理.tar文件时操作不当,Barracuda Email安全网关版本5.1.3.001-9.2.0.006中均存在此漏洞。威胁参与者可以利用此漏洞并使用产品权限执行系统命令。
据悉,该漏洞已被网络间谍组织用于从事间谍活动和其他活动。此漏洞的严重程度为9.8(严重)。Barracuda Networks已经针对此漏洞发布了补丁。
Adobe ColdFusion任意代码执行漏洞
Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品。
2023年3月,Adobe发布ColdFusion安全更新,修复了ColdFusion 2018和2021中的多个安全漏洞。其中,Adobe ColdFusion访问控制不当漏洞(CVE-2023-26360)严重程度为9.8(严重),允许恶意行为者在未经身份验证的情况下利用该漏洞执行任意代码,而无需用户交互。
据悉,此漏洞(CVE-2023-26360)影响Adobe ColdFusion版本2018 Update 15(及更早版本)和2021 Update 5(及更早版本)。调查显示,一个未知的威胁行为者在2023年6月和7月利用了这个漏洞。
Citrix Bleed漏洞
Citrix Bleed漏洞(CVE 2023-4966)存在于多个版本的Citrix NetScaler ADC和Gateway设备中,允许威胁行为者检索受影响设备上的敏感信息。要利用该漏洞,需要将设备配置为网关(虚拟服务器、ICA代理、CVPN、RDP代理)或授权和计费(AAA)虚拟服务器。未授权的远程攻击者可通过利用此漏洞,窃取敏感信息。
LockBit 3.0勒索软件组织在2023年11月积极利用了这个漏洞。
此漏洞的严重程度为7.5(高危)。针对此漏洞存在公开可用的利用代码,并且发现了几个利用实例。Citrix已经发布了补丁来修复这个漏洞。
Windows SmartScreen安全功能绕过漏洞
威胁参与者可以通过传递绕过Web标记(MOTW)警告的恶意MSI文件来利用此漏洞(CVE-2023-24880),潜在地将恶意软件部署到系统中。这个漏洞已被Magniber勒索软件和Qakbot恶意软件攻击者积极用于攻击活动中。
此漏洞的严重程度为4.4(中危)。此外,该漏洞绕过了先前在Windows SmartScreen上发现的漏洞。微软已经发布了补丁来修复这个漏洞。
SugarCRM远程代码执行漏洞
此漏洞(CVE-2023-22952)存在于SugarCRM的电子邮件模板中,具有任何用户权限的威胁行为者可以使用特制的请求利用该漏洞。由于缺少输入验证,威胁参与者还可以注入自定义PHP代码。
此漏洞的严重程度为8.8(高危)。许多SugarCRM 11.0和12.0产品均受到此漏洞的影响。不过,好在SugarCRM已经发布了补丁来修复这个漏洞。
除了上述列表之外,今年还发现了许多关键漏洞。建议使用这些产品的用户升级到最新版本,以防止这些漏洞被威胁参与者滥用。
原文Top 10 Vulnerabilities That Were Exploited the Most In 2023,作者:Cyber Writes Team