譯者 | 晶顏

審校 | 重樓

2023年，威脅行為者已經發現了大量漏洞，并積極利用這些漏洞進行惡意攻擊，例如勒索軟件、網絡間諜、數據盜竊、網絡恐怖主義和許多國家支持的活動。

一些漏洞已被添加到CISA的已知被利用漏洞（KEV）目錄中，并被標記為亟需補丁的高危漏洞。Microsoft、Citrix、Fortinet、Progress和許多其他供應商的產品均受到了這些漏洞的影響。

概括來看，2023年最易被濫用的漏洞包括：

• MOVEit漏洞（CVE-2023-34362）
• Microsoft Outlook特權升級漏洞（CVE-2023-23397）
• Fortinet FortiOS漏洞（CVE-2022-41328）
• ChatGPT漏洞（CVE-2023-28858）
• Windows通用日志文件系統驅動程序權限升級漏洞（CVE-2023-28252）
• Barracuda郵件安全網關漏洞（CVE-2023-2868）
• Adobe ColdFusion漏洞（CVE-2023-26360）
• Citrix Bleed漏洞（CVE 2023-4966）
• Windows SmartScreen繞過漏洞（CVE-2023-24880）
• SugarCRM遠程代碼執行漏洞（CVE-2023-22952）

Progress MOVEit SQL注入漏洞

2023年5月，MOVEit Secure Managed File Transfer 軟件中被曝存在一個嚴重的零日SQL注入漏洞（CVE-2023-34362）。由于該漏洞的嚴重性，CISA于2023年6月初發布了針對該漏洞的公告。

MOVEit Transfer是一款商業安全托管文件傳輸（MFT）軟件解決方案，支持使用SFTP、SCP和HTTP的方式在組織及其客戶之間安全移動和上傳文件。

MOVEit Transfer受到該SQL注入漏洞的影響，可能允許未經身份驗證的攻擊者訪問MOVEit Transfer的數據庫。結構化查詢語言（SQL）允許對關系數據庫執行查詢和命令。注入漏洞允許攻擊者操縱這些查詢來利用系統檢索數據或進行更改。

在這種情況下，攻擊者可以從原本受到保護的數據庫中提取數據，執行自己的SQL查詢，以及更改和刪除數據。此漏洞（CVE-2023-34362）存在于易受SQL注入攻擊的2021.0.6（13.0.6）、2021.1.4（13.1.4）、2022.0.4（14.0.4）、2022.1.5（14.1.5）和2023.0.1（15.0.1）之前的Progress MOVEit Transfer版本中。

據悉，該漏洞于2023年5月和6月被CL0P勒索軟件組織濫用，政府、金融、媒體、航空和醫療機構等行業都受到了影響，數據被竊取。

此漏洞的嚴重性為9.8（嚴重）。Progress已經發布了修復此漏洞的補丁版本以及預防措施。

Microsoft Outlook特權提升漏洞

這一特權提升漏洞（CVE-2023-23397）存在于所有版本的Outlook客戶端中，包括用于Android、iOS、Mac和Windows用戶的Outlook。威脅參與者可以通過發送特制郵件來利用此漏洞，從而自動觸發此漏洞利用。

此外，這是一個無需用戶交互的“零點擊”（zero-click）漏洞。成功利用此漏洞會泄露受害者的Net-NTLMv2散列，然后可以使用這些散列對其他系統執行中繼攻擊，并將威脅參與者身份驗證為目標用戶。

一個來自俄羅斯的威脅行為者利用這個漏洞來攻擊歐洲的政府、交通、能源和軍事部門。此漏洞的嚴重程度為9.8（嚴重）。微軟已經發布了一個補丁版本來解決這個漏洞。

Fortinet FortiOS路徑遍歷漏洞

2023年3月，Fortinet官方發布了一份安全公告，修復了FortiOS中的一個路徑遍歷漏洞（CVE-2022-41328）。此漏洞的嚴重程度為7.1（高危），且已被一個網絡間諜組織用于攻擊政府。

由于對路徑名限制不當，FortiOS多個版本中均存在該漏洞，包括FortiOS 6.0所有版本、FortiOS 6.2所有版本、6.4.0 <= FortiOS 版本<= 6.4.11、7.0.0 <= FortiOS 版本<= 7.0.9、7.2.0 <= FortiOS版本<= 7.2.3。該漏洞允許特權威脅參與者通過精心制作的CLI命令在底層系統上讀取和寫入任意文件。

目前該漏洞已經修復，受影響用戶可升級到以下版本：

• FortiOS版本>= 6.4.12；
• FortiOS版本>= 7.0.10；
• FortiOS版本>= 7.2.4

ChatGPT Off-by-one漏洞

off-by-one指程序向緩沖區中寫入時，寫入的字節數超過了這個緩沖區本身所申請的字節數并且只越界了一個字節。

ChatGPT Off-by-one漏洞（CVE-2023-28858）存在于4.5.3之前的ChatGPT版本的redis-py中，如果兩個用戶同時處于活動狀態，則允許用戶查看其他人的聊天歷史記錄。此外，OpenAI表示，“在這個漏洞存在期間，有1.2%的ChatGPT Plus活躍用戶的支付相關信息可能無意中被看到。”

OpenAI在接到通知后已經迅速修補了這個漏洞。此漏洞的嚴重程度為3.7（低危）。

Windows通用日志文件系統（CLFS）驅動程序權限升級漏洞

通用日志文件系統（CLFS）是一個通用目的的日志文件系統，它可以從內核模式或用戶模式的應用程序訪問，用以構建一個高性能的事務日志。

Windows CLFS驅動程序權限升級漏洞（CVE-2023-28252）造成了大規模的數字混亂，影響所有受支持的Windows服務器和客戶端版本，并且可以由本地攻擊者在低復雜性攻擊中進行操縱，而無需任何用戶交互。成功利用該漏洞允許威脅行為者獲得系統權限，本質上是支持他們完全入侵目標Windows系統。

火上澆油的是，IT 安全咨詢公司Fortra的安全研究人員發布了CVE-2023-28252漏洞的技術細節和概念驗證（PoC）漏洞利用代碼，該漏洞可升級為系統權限。

據悉，Nokoyawa勒索軟件組織已于2023年4月積極利用這一漏洞攻擊組織。此漏洞的嚴重程度為7.8（高危）。微軟已經發布了補丁來修復這個漏洞。

Barracuda電子郵件安全網關REC漏洞

2023年5月23日，Barracuda Networks披露了其電子郵件安全網關（ESG）設備中的一個零日漏洞（CVE-2023-2868）。調查顯示，該遠程命令注入漏洞早在2022年10月就已被利用。

由于在處理.tar文件時操作不當，Barracuda Email安全網關版本5.1.3.001-9.2.0.006中均存在此漏洞。威脅參與者可以利用此漏洞并使用產品權限執行系統命令。

據悉，該漏洞已被網絡間諜組織用于從事間諜活動和其他活動。此漏洞的嚴重程度為9.8（嚴重）。Barracuda Networks已經針對此漏洞發布了補丁。

Adobe ColdFusion任意代碼執行漏洞

Adobe ColdFusion是美國Adobe公司的一款動態Web服務器產品。

2023年3月，Adobe發布ColdFusion安全更新，修復了ColdFusion 2018和2021中的多個安全漏洞。其中，Adobe ColdFusion訪問控制不當漏洞（CVE-2023-26360）嚴重程度為9.8（嚴重），允許惡意行為者在未經身份驗證的情況下利用該漏洞執行任意代碼，而無需用戶交互。

據悉，此漏洞（CVE-2023-26360）影響Adobe ColdFusion版本2018 Update 15（及更早版本）和2021 Update 5（及更早版本）。調查顯示，一個未知的威脅行為者在2023年6月和7月利用了這個漏洞。

Citrix Bleed漏洞

Citrix Bleed漏洞（CVE 2023-4966）存在于多個版本的Citrix NetScaler ADC和Gateway設備中，允許威脅行為者檢索受影響設備上的敏感信息。要利用該漏洞，需要將設備配置為網關（虛擬服務器、ICA代理、CVPN、RDP代理）或授權和計費（AAA）虛擬服務器。未授權的遠程攻擊者可通過利用此漏洞，竊取敏感信息。

LockBit 3.0勒索軟件組織在2023年11月積極利用了這個漏洞。

此漏洞的嚴重程度為7.5（高危）。針對此漏洞存在公開可用的利用代碼，并且發現了幾個利用實例。Citrix已經發布了補丁來修復這個漏洞。

Windows SmartScreen安全功能繞過漏洞

威脅參與者可以通過傳遞繞過Web標記（MOTW）警告的惡意MSI文件來利用此漏洞（CVE-2023-24880），潛在地將惡意軟件部署到系統中。這個漏洞已被Magniber勒索軟件和Qakbot惡意軟件攻擊者積極用于攻擊活動中。

此漏洞的嚴重程度為4.4（中危）。此外，該漏洞繞過了先前在Windows SmartScreen上發現的漏洞。微軟已經發布了補丁來修復這個漏洞。

SugarCRM遠程代碼執行漏洞

此漏洞（CVE-2023-22952）存在于SugarCRM的電子郵件模板中，具有任何用戶權限的威脅行為者可以使用特制的請求利用該漏洞。由于缺少輸入驗證，威脅參與者還可以注入自定義PHP代碼。

此漏洞的嚴重程度為8.8（高危）。許多SugarCRM 11.0和12.0產品均受到此漏洞的影響。不過，好在SugarCRM已經發布了補丁來修復這個漏洞。

除了上述列表之外，今年還發現了許多關鍵漏洞。建議使用這些產品的用戶升級到最新版本，以防止這些漏洞被威脅參與者濫用。

原文標題：Top 10 Vulnerabilities That Were Exploited the Most In 2023，作者：Cyber Writes Team