譯者 | 晶顏

審校 | 重樓

零日漏洞在2024年再次大幅增長。由于沒有可用的補丁，零日漏洞為攻擊者提供了突破網絡安全防線的利刃，使其成為攻擊企業系統的關鍵武器。

雖然所有的零日漏洞對于首席信息安全官（CISO）及其團隊來說都是至關重要的，對于供應商來說也都需要及時進行補救，但有些零日漏洞利用活動卻清晰地揭示了攻擊者對目標的偏好趨勢。

以下是CISO及其安全團隊應該注意的一些關鍵趨勢，這些趨勢是基于今年不斷增加的零日漏洞利用總結的。它們每一項都因其突出性、創新性或對業務資產的實際影響而顯得至關重要。

1.針對網絡安全設備的零日攻擊增加

VPN網關、防火墻、郵件安全網關、負載均衡系統等網絡邊緣設備的攻擊速度在今年急速飆升。鑒于其強大的功能、特權的網絡位置以及其所有者對底層代碼和操作系統的有限可見性，這些設備已經成為進入企業網絡的理想入口點。

今年年初，Ivanti Connect Secure和Ivanti Policy Secure（一個SSL VPN和一個網絡訪問控制解決方案）中出現了兩個零日漏洞。其中一個漏洞（CVE-2023-46805）允許身份驗證繞過；第二個漏洞（CVE-2024-21887）則允許在底層操作系統中注入命令。這兩個漏洞被一個國家行為體組織結合在一個利用鏈中利用。

2024年的關鍵零日漏洞利用還包括：

• Citrix NetScaler ADC和NetScaler網關（CVE-2023-6548，代碼注入；CVE-2023-6549，緩沖區溢出）；
• Ivanti Connect Secure（CVE-2024-21893，服務器端請求偽造）；
• Fortinet FortiOS SSL VPN（CVE-2024-21762，任意代碼執行漏洞）；
• Palo Alto Networks PAN-OS（CVE-2024-3400，命令注入）；
• Cisco Adaptive Security Appliance（CVE-2024-20359，任意代碼執行；CVE-2024-20353，拒絕服務漏洞）；
• Check Point量子安全網關和CloudGuard網絡安全（CVE-2024-24919，導致信息泄露的路徑遍歷）；
• Cisco NX-OS交換機（CVE-2024-20399，CLI命令注入）；
• Versa Networks Director（CVE-2024-39717，任意文件上傳和執行）；
• Ivanti云服務設備（CVE-2024-8963，路徑遍歷導致遠程代碼執行）；
• Ivanti云服務設備（CVE-2024-9381，路徑遍歷，與CVE-2024-8963結合成利用鏈）；
• Ivanti云服務設備（CVE-2024-9379， SQL注入導致應用程序接管，與CVE-2024-8963結合成利用鏈）；
• Ivanti云服務設備（CVE-2024-9380，操作系統指令注入，與CVE-2024-8963結合成利用鏈）；
• Fortinet FortiManager漏洞（CVE-2024-47575，缺少認證導致整個系統泄露）；
• Cisco Adaptive Security Appliance（CVE-2024-20481，遠程訪問VPN拒絕服務漏洞）；
• Palo Alto PAN-OS（CVE-2024-0012，身份繞過，與CVE-2024-9474結合成利用鏈導致命令注入）。

更糟糕的是，其他已修復（N-days）的已知漏洞也繼續在未打補丁的網絡邊緣設備和設備中被廣泛濫用，使這些系統成為2024年攻擊者的首要目標之一，尤其是國家支持的網絡間諜組織。

2.遠程監控和管理（RMM）仍是一個成熟的目標

攻擊者——尤其是為勒索軟件組織工作的初始訪問代理——習慣性地濫用遠程監控和管理（RMM）產品來保持對公司網絡的持久性，同時也侵入它們。

早在2021年，REvil勒索軟件組織就利用了Kaseya VSA服務器中的一個漏洞，Kaseya VSA服務器是許多托管服務提供商（MSP）使用的遠程管理平臺。2024年2月，攻擊者又利用了另一個廣泛使用的RMM工具ConnectWise ScreenConnect中的兩個零日漏洞。

這些漏洞被追蹤為CVE-2024-1708和CVE-2024-1709，分別是一個路徑遍歷和身份驗證繞過漏洞。這些漏洞允許攻擊者訪問初始設置向導并在此過程中重置管理密碼。通常情況下，安裝向導應該只運行一次，并在應用程序設置完成后受到保護。

3.托管文件傳輸受到攻擊

勒索軟件團伙還習慣以企業托管文件傳輸（MFT）軟件為目標，以獲取企業網絡的初始訪問權限。去年12月，攻擊者開始利用Cleo LexiCom、VLTrader和Harmony這三款企業文件傳輸產品中的任意文件寫入漏洞。

該漏洞現在被追蹤為CVE-2024-55956，類似于10月份在同一Cleo產品中修補的另一個漏洞（CVE-2024-50623），后者允許任意文件寫入和文件讀取。然而，根據Rapid7研究人員的說法，即使這兩個漏洞位于代碼庫的同一部分，并且可以通過相同的端點訪問，但它們是不同的，也不需要組合成利用鏈來發揮作用。

攻擊者可以利用CVE-2024-55956將惡意文件寫入應用程序的Autorun目錄，然后利用內置功能執行其文件并下載額外的惡意軟件有效負載。

2023年，數千家企業使用的MFT產品MOVEit Transfer中的一個零日SQL注入漏洞（CVE-2023-34362）被Cl0p勒索軟件團伙利用，從眾多組織竊取數據。今年，在同一產品中又發現了兩個關鍵的身份驗證繞過漏洞（CVE-2024-5806和CVE-2024-5805），這引發了人們對新一波利用即將到來的擔憂，尤其是在該勒索軟件組織之前針對的就是MFT產品的情況下。

在2023年1月，Cl0p團伙利用了GoAnywhere MFT中的一個零日遠程代碼執行漏洞（CVE-2023-0669），并聲稱竊取了130個組織的數據，而在2020年，同一組織的成員利用了Accellion文件傳輸設備中的一個零日漏洞（CVE-2021-27101）。

4.CI/CD缺陷對攻擊者極具吸引力

攻擊者也在尋找CI/CD工具中的漏洞，因為它們不僅提供了進入企業網絡的入口點，而且一旦暴露在互聯網上，還會增加破壞軟件開發管道的可能性，從而導致軟件供應鏈攻擊。其中一次備受矚目的攻擊就是2020年SolarWinds公司爆發的Orion軟件后門事件，該軟件當時廣泛應用于眾多私人組織和政府機構。

2024年1月，研究人員在Jenkins中發現了一個可能導致代碼執行的路徑遍歷漏洞（CVE-2024-23897）。該漏洞被評為高危漏洞，根源在于該軟件解析命令行界面（CLI）命令的方式。

雖然補丁在公開披露時可用，因此不是零日漏洞，但攻擊者很快就采用了它，早在3月份就有跡象表明該漏洞已被濫用。今年8月，在勒索軟件組織開始利用該漏洞侵入企業網絡并竊取敏感數據后，美國網絡安全和基礎設施安全局（CISA）將該漏洞添加到其已知利用漏洞目錄中。

今年攻擊者利用的另一個N天CI/CD漏洞是CVE-2024-27198，這是JetBrains TeamCity（構建管理和持續集成服務器）中的一個身份驗證繞過問題。該漏洞可能導致完全的服務器接管和遠程代碼執行。

這并不是攻擊者第一次針對TeamCity，因為在2023年9月發現的另一個身份驗證繞過漏洞（CVE-2023-42793）很快便被朝鮮政府資助的黑客利用來破壞Windows環境，然后在整個2024年繼續被其他組織作為攻擊目標。

5.供應鏈妥協比比皆是

CI/CD缺陷并不是破壞開發或構建環境以污染源代碼或引入后門的唯一方法。今年，研究人員發現了一個長達數年的滲透活動，一個惡意的開發人員使用假身份慢慢地獲得了一個開源項目的信任，并被添加為XZ Utils庫的維護者，XZ Utils庫是一個廣泛使用的開源數據壓縮庫。

這個名為Jia Tan的流氓開發人員慢慢地在XZ Utils代碼中添加了一個后門，該后門與SSH交互，目的是在系統上打開未經授權的遠程訪問。這個后門是偶然發現的——幸運的是，在木馬版本成為穩定的Linux發行版之前。

該漏洞被追蹤為CVE-2024-3094，突出了開源生態系統中供應鏈攻擊的風險。在開源生態系統中，許多生產關鍵和廣泛使用的軟件庫的項目面臨人手和資金不足的情況，很可能在沒有經過嚴格審查的情況下接受新開發人員的幫助。

去年12月，攻擊者利用GitHub Actions的腳本注入漏洞，對開源人工智能庫Ultralytics YOLO的PyPI版本進行了入侵和后門攻擊。這類腳本注入漏洞利用了對GitHub Actions CI/CD服務的不安全使用，可能會影響許多托管在GitHub上的項目。

6.AI淘金熱開啟了新的攻擊可能性

為了急于將人工智能聊天機器人和機器學習模型測試并集成到業務工作流程中，組織正在其云基礎設施上部署各種與人工智能相關的框架、庫和平臺，但卻忽略了配置安全問題。除了配置錯誤之外，這些平臺還可能存在漏洞，使攻擊者能夠訪問敏感的知識產權，例如自定義AI模型和訓練數據，或者至少為他們提供在底層服務器上的立足點。

Jupyter Notebooks是一個基于Web的交互式計算平臺，用于數據可視化、機器學習等，谷歌和AWS等云提供商將Jupyter Notebooks作為托管服務提供。但它經常會淪為僵尸網絡的目標，通過加密挖礦程序感染服務器。

今年，Windows版本的Jupyter Notebooks漏洞（CVE-2024-35178）讓未經身份驗證的攻擊者泄露了運行服務器的Windows用戶的NTLMv2密碼哈希值。如果被破解，這個密碼可以用來使用該憑據對同一網絡上的其他機器執行橫向移動。

去年11月，JFrog的研究人員宣布了他們分析機器學習工具生態系統的結果，結果是在15個不同的機器學習項目（包括服務器端和客戶端組件）中發現了22個漏洞。10月初，Protect AI報告了開源AI/ML供應鏈中的34個漏洞，這些漏洞是通過其漏洞賞金計劃披露的。

諸如此類的研究工作強調，作為較新的項目，許多AI/ML框架從安全角度來看可能不夠成熟，或者沒有像其他類型的軟件那樣得到安全研究社區的同等審查。雖然這種情況正在改變，但隨著研究人員越來越多地研究這些工具，惡意攻擊者也在研究它們，似乎有足夠的漏洞留給他們去發現。

7.繞過安全特性使攻擊更加有效

雖然組織應該在修補工作中始終優先考慮關鍵的遠程代碼執行漏洞，但值得記住的是，在實踐中，攻擊者也會利用對其攻擊鏈有用的不太嚴重的缺陷，例如特權升級或安全功能繞過漏洞。

今年，攻擊者利用了五個不同的零日漏洞，允許他們在執行從互聯網下載的文件時繞過SmartScreen提示。它們包括CVE-2024-38217、CVE-2024-38213、CVE-2024-29988、 CVE-2024-21351和CVE-2024-21412。

Windows Defender SmartScreen是Windows內置的文件信譽功能，它將帶有網絡標記（mark -of- web，簡稱MOTW）標志的文件視為可疑文件，從而向用戶顯示更具攻擊性的警報。

任何可以繞過此功能的技術對于通過電子郵件附件或drive-by下載分發惡意軟件的攻擊者都非常有用。近年來，勒索軟件組織尤其善于發現并利用SmartScreen繞過技術。

特權升級漏洞允許當前用戶執行的惡意代碼獲得系統上的管理級特權，這對于想要破壞整個系統的攻擊者來說也非常有用。據報道，今年Windows和Windows Server中有11個此類漏洞為零日漏洞，單Windows組件中就有5個零日遠程代碼執行漏洞。

原文標題：Top 7 zero-day exploitation trends of 2024，作者：Lucian Constantin