2023年，隨著勒索軟件和APT組織紛紛調(diào)整攻擊策略，零日漏洞攻擊快速升溫并有望在2024年延續(xù)這一趨勢(shì)。

根據(jù)谷歌威脅分析小組今年7月發(fā)布的報(bào)告，2021年野外利用零日漏洞數(shù)量（69個(gè)）創(chuàng)下歷史新高后，2022年有所下滑，但2023年隨著重大零日漏洞利用事件的大幅增長(zhǎng)，零日漏洞攻擊重新升溫，從商業(yè)間諜到勒索軟件攻擊，零日漏洞被廣泛使用。

零日漏洞利用對(duì)攻擊者的財(cái)力或技能有著很高要求，但是“零日漏洞+供應(yīng)鏈攻擊”產(chǎn)生的倍增效應(yīng)使得零日漏洞攻擊的“投入產(chǎn)出比”極速飆升。賽門(mén)鐵克首席情報(bào)分析師Dick O’Brien指出，2024年攻擊者將更頻繁地利用零日漏洞，因?yàn)轭?lèi)似MOVEit文件傳輸漏洞可產(chǎn)生巨大的“爆炸半徑”，同時(shí)影響全球數(shù)以千計(jì)的企業(yè)。

以下是2023年10起最大的零日攻擊（按時(shí)間順序排列）。

1.GoAnywhere（MFT零日漏洞）

2023年最具殺傷力的零日攻擊是利用多個(gè)流行托管文件傳輸產(chǎn)品（MFT）的供應(yīng)鏈攻擊。Fortra的GoAnywhere是首個(gè)造成重大影響的MFT零日漏洞攻擊。

網(wǎng)絡(luò)安全記者Brian Krebs于2023年2月2日首次報(bào)道了GoAnywhere中的預(yù)身份驗(yàn)證命令注入零日漏洞（CVE-2023-0669）；此前一天，F(xiàn)ortra向客戶(hù)發(fā)布了CVE-2023-0669安全建議。

該漏洞于2月7日得到修補(bǔ)，但直到3月14日數(shù)據(jù)安全供應(yīng)商Rubrik披露GoAnywhere漏洞導(dǎo)致的數(shù)據(jù)泄漏事件，GoAnywhere漏洞利用細(xì)節(jié)才成為業(yè)界關(guān)注的焦點(diǎn)。同一天，勒索軟件組織Clop在其數(shù)據(jù)泄露網(wǎng)站上列出了Rubrik。

Rubrik是首個(gè)公開(kāi)報(bào)道的因GoAnywhere零日漏洞發(fā)生數(shù)據(jù)泄露的企業(yè)（零號(hào)病人），隨后包括寶潔公司、日立能源公司等大量知名企業(yè)紛紛中招。

Clop聲稱(chēng)對(duì)100多起數(shù)據(jù)勒索攻擊負(fù)責(zé)，但尚不清楚有多少受害者支付了贖金。FortraGoAnywhere是第一個(gè)MFT零日漏洞，它的“大獲成功”使得“零日漏洞+供應(yīng)鏈攻擊+數(shù)據(jù)勒索”成為2023年對(duì)攻擊者最具吸引力，造成損失最大的攻擊組合之一。

2.梭子魚(yú)郵件安全網(wǎng)關(guān)（遠(yuǎn)程命令注入漏洞）

5月23日，梭子魚(yú)（Barracuda Networks）披露在其電子郵件安全網(wǎng)關(guān)(ESG)設(shè)備中發(fā)現(xiàn)了一個(gè)遠(yuǎn)程命令注入零日漏洞（CVE-2023-2868）。梭子魚(yú)表示，它于5月18日聘請(qǐng)了谷歌旗下威脅情報(bào)公司Mandiant來(lái)調(diào)查其ESG設(shè)備的可疑活動(dòng)，從而發(fā)現(xiàn)了該零日漏洞，并于第二天向所有設(shè)備發(fā)布了補(bǔ)丁。但調(diào)查顯示，漏洞CVE-2023-2868早在2022年10月就已被利用。梭子魚(yú)表示，攻擊者使用三種類(lèi)型的惡意軟件來(lái)獲得對(duì)“ESG設(shè)備子集”的持久后門(mén)訪問(wèn)，它們被用來(lái)從客戶(hù)網(wǎng)絡(luò)中竊取數(shù)據(jù)。

當(dāng)梭子魚(yú)于6月6日宣布“受影響的ESG設(shè)備”需要立即更換時(shí)，事態(tài)變得非常糟糕。梭子魚(yú)后來(lái)澄清說(shuō)，只有受到威脅行為者“損害”的設(shè)備才需要更換，并且將免費(fèi)向客戶(hù)提供新產(chǎn)品。

3.MoveIt Transfer（MFT零日漏洞）

5月31日另一個(gè)MFT零日漏洞浮出水面，Progress Software當(dāng)日披露并修補(bǔ)了其MoveIt Transfer軟件中的一個(gè)SQL注入漏洞，編號(hào)為CVE-2023-34362。第二天，Rapid7報(bào)告了該零日漏洞被利用的情況，但幾天后情況迅速惡化。

6月4日，微軟威脅情報(bào)中心將MoveIt Transfer漏洞的利用歸因于其追蹤的威脅實(shí)體Lace Tempest，該實(shí)體又與Clop勒索軟件組織有關(guān)。Clop也是GoAnywhere零日漏洞的積極利用者。

CVE-2023-34362首次披露幾個(gè)月后，受害者名單繼續(xù)增長(zhǎng)。與針對(duì)Fortra GoAnywhere客戶(hù)的攻擊一樣，MoveIt零日漏洞的攻擊者僅專(zhuān)注于數(shù)據(jù)盜竊，并未在受害者的環(huán)境中部署勒索軟件。目前尚不清楚有多少受害者向Clop支付了贖金，但此次攻擊的范圍和規(guī)模是驚人的。Emsisoft在9月份估計(jì)，Clop利用MoveIt零日漏洞實(shí)施的數(shù)據(jù)盜竊和勒索活動(dòng)影響了2095個(gè)組織和超過(guò)6200萬(wàn)人。

4.VMwareTools（身份驗(yàn)證繞過(guò)漏洞）

6月13日，VMware披露了一個(gè)影響ESXi虛擬機(jī)管理程序?qū)嵗牡臀Ｂ┒础矸蒡?yàn)證繞過(guò)漏洞（CVE-2023-20867），攻擊者可在受感染ESXi主機(jī)上繞過(guò)VMware Tools的主機(jī)到來(lái)賓（host-to-guest）操作中的身份驗(yàn)證檢查，并最終入侵虛擬機(jī)。

CVE-2023-20867的CVSSv3分?jǐn)?shù)僅為3.9，因?yàn)槔迷撀┒葱枰粽攉@得ESXi虛擬機(jī)管理程序的root訪問(wèn)權(quán)限。然而，發(fā)現(xiàn)該零日漏洞的Mandiant報(bào)告稱(chēng)，威脅組織可利用該零日漏洞從ESXi主機(jī)上的來(lái)賓虛擬機(jī)執(zhí)行特權(quán)命令，同時(shí)還部署持久后門(mén)。

這些攻擊表明，即使CVSS評(píng)分嚴(yán)重程度較低的漏洞也可能被用來(lái)造成重大損害。

5.微軟Windows和Office（遠(yuǎn)程代碼執(zhí)行漏洞）

2023年，微軟產(chǎn)品中曝出大量零日漏洞，其中最嚴(yán)重的一個(gè)是CVE-2023-36884，它是WindowsSearch中的遠(yuǎn)程代碼執(zhí)行漏洞（RCE）。該漏洞在微軟7月補(bǔ)丁星期二版本中首次披露，影響Windows和Office軟件。

CVE-2023-36884與其他Microsoft零日漏洞有兩個(gè)不同之處。首先，盡管微軟確實(shí)提供了緩解措施來(lái)防止利用該漏洞，但在披露時(shí)該RCE漏洞還沒(méi)有補(bǔ)丁。該漏洞最終在八月補(bǔ)丁星期二版本中才得到修復(fù)。

其次，微軟透露，其追蹤的一個(gè)名為Storm-0978的俄羅斯網(wǎng)絡(luò)犯罪組織在以間諜活動(dòng)為主的網(wǎng)絡(luò)釣魚(yú)活動(dòng)以及經(jīng)濟(jì)動(dòng)機(jī)的勒索軟件攻擊中利用了CVE-2023-36884。根據(jù)微軟的報(bào)告，Storm-0978的攻擊活動(dòng)針對(duì)北美和歐洲的國(guó)防組織和政府實(shí)體。網(wǎng)絡(luò)釣魚(yú)電子郵件包含與北約和烏克蘭世界大會(huì)相關(guān)的誘餌，攻擊者利用CVE-2023-36884繞過(guò)Microsoft的Web標(biāo)記(MotW)安全功能，該功能通常會(huì)阻止惡意鏈接和附件。

在調(diào)查該漏洞利用鏈時(shí)，Palo Alto Networks Unit42的安全研究人員發(fā)現(xiàn)了另一個(gè)漏洞，編號(hào)為CVE-2023-36584。該漏洞于10月份披露，還可以讓攻擊者繞過(guò)MotW保護(hù)。

6.WebP/Libwebp（堆棧緩沖區(qū)溢出漏洞）

9月11日，谷歌針對(duì)圖像格式WebP中的一個(gè)嚴(yán)重堆緩沖區(qū)溢出漏洞發(fā)布了緊急補(bǔ)丁。該零日漏洞的編號(hào)為CVE-2023-4863，允許遠(yuǎn)程攻擊者通過(guò)惡意WebP圖像執(zhí)行越界內(nèi)存寫(xiě)入。

該漏洞不僅僅影響谷歌的Chrome瀏覽器。由于WebP格式得到其他瀏覽器制造商的支持，微軟、蘋(píng)果和Mozilla等公司也發(fā)布了瀏覽器更新。雖然谷歌最初將CVE-2023-4863描述為WebP中的漏洞，但安全研究人員指出，問(wèn)題出在開(kāi)源Libwebp庫(kù)中，很多非瀏覽器開(kāi)發(fā)人員也使用該庫(kù)。

讓事情變得更加復(fù)雜的是，Cloudflare等一些網(wǎng)絡(luò)安全公司指出CVE-2023-4863與Apple ImageI/O框架中的另一個(gè)零日堆緩沖區(qū)溢出漏洞之間存在相似之處，該漏洞在幾天前于9月7日被披露并修補(bǔ)。Apple漏洞被追蹤為CVE-2023-41064，由公民實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)，他們發(fā)現(xiàn)該漏洞已被商業(yè)間諜軟件供應(yīng)商N(yùn)SO Group的零點(diǎn)擊攻擊武器化。

Citizen Lab與Apple的安全工程和架構(gòu)團(tuán)隊(duì)也發(fā)現(xiàn)了CVE-2023-4863。然而，這兩個(gè)組織都沒(méi)有將CVE-2023-4863的零日漏洞攻擊歸咎于NSO集團(tuán)，也沒(méi)有提供漏洞利用的進(jìn)一步細(xì)節(jié)。

7.蘋(píng)果iOS和iPadOS（操作系統(tǒng)內(nèi)核提權(quán)漏洞）

與微軟一樣，蘋(píng)果在2023年也出現(xiàn)了零日漏洞。然而，9月21日披露的iOS和iPadOS中的三個(gè)零日漏洞尤為突出，分別是：

• CVE-2023-41992，這是操作系統(tǒng)內(nèi)核中的一個(gè)特權(quán)提升漏洞；
• CVE-2023-41991，一個(gè)可讓攻擊者繞過(guò)簽名驗(yàn)證的安全漏洞；
• CVE-2023-41993，Apple WebKit瀏覽器引擎中的一個(gè)漏洞，可導(dǎo)致任意代碼執(zhí)行。

公民實(shí)驗(yàn)室的研究員Bill Marczak和Google威脅分析小組(TAG)的安全研究員Maddie Stone發(fā)現(xiàn)了這三個(gè)零日漏洞。在9月22日的一篇博客文章中，公民實(shí)驗(yàn)室的研究人員透露，這些漏洞被用在一個(gè)漏洞利用鏈中來(lái)傳播商業(yè)監(jiān)控供應(yīng)商Cytrox的間諜軟件產(chǎn)品Predator。據(jù)公民實(shí)驗(yàn)室稱(chēng)，前埃及議會(huì)議員艾哈邁德·埃爾坦塔維(Ahmed Eltantawy)在2023年5月至9月期間成為Predator間諜軟件的攻擊目標(biāo)。

在Eltantawy宣布打算在2024年埃及大選中競(jìng)選總統(tǒng)后，他聯(lián)系了公民實(shí)驗(yàn)室，表達(dá)了對(duì)手機(jī)安全的擔(dān)憂(yōu)。公民實(shí)驗(yàn)室的研究人員與谷歌的TAG一起調(diào)查了他手機(jī)上的活動(dòng)，發(fā)現(xiàn)手機(jī)已感染了Predator間諜軟件。公民實(shí)驗(yàn)室將這次襲擊歸咎于埃及政府，并表示此案表明“雇傭間諜軟件”有多么危險(xiǎn)。

8.Atlassian Confluence（滿(mǎn)分漏洞）

10月4日，Atlassian披露并修補(bǔ)了其Confluence數(shù)據(jù)中心和服務(wù)器產(chǎn)品中的一個(gè)零日漏洞，編號(hào)為CVE-2023-22515，最初被描述為影響Confluence工作區(qū)套件的自我管理版本的特權(quán)提升漏洞。

該零日漏洞的CVSS評(píng)分高達(dá)10分，與Confluence數(shù)據(jù)中心和服務(wù)器軟件中的訪問(wèn)控制損壞有關(guān)。更多信息在接下來(lái)的一周被披露，微軟通過(guò)X（推特）表示，自9月14日以來(lái)，一個(gè)國(guó)家黑客組織一直在利用該漏洞。

目前尚不清楚有多少Atlassian客戶(hù)受到Storm-0062的攻擊，也不清楚攻擊者針對(duì)的是哪些類(lèi)型的組織。Atlassian敦促所有客戶(hù)立即更新其Confluence實(shí)例，或從公共互聯(lián)網(wǎng)上隔離易受攻擊的版本，直到他們能夠正確應(yīng)用補(bǔ)丁。

9.Citrix Bleed（MFA繞過(guò)）

當(dāng)一個(gè)漏洞擁有自己的“昵稱(chēng)”時(shí)，通常表明該漏洞造成了嚴(yán)重影響。10月10日，Citrix解決了影響NetScaler ADC（以前稱(chēng)為Citrix ADC）和NetScaler Gateway（以前稱(chēng)為Citrix Gateway）多個(gè)版本的兩個(gè)漏洞。其中一個(gè)是可泄漏敏感信息的高危漏洞，編號(hào)為CVE-2023-4966。這個(gè)高危零日漏洞被信息安全專(zhuān)業(yè)人士稱(chēng)為Citrix Bleed，CVSS評(píng)分高達(dá)9.4。

一周后，根據(jù)Mandiant的報(bào)告，自2023年8月份以來(lái)，它觀察到大量Citrix Bleed的野外利用活動(dòng)，主要針對(duì)政府和技術(shù)組織。研究人員觀察到威脅行為者劫持了易受攻擊的設(shè)備的經(jīng)過(guò)身份驗(yàn)證的會(huì)話(huà)，這使他們能夠繞過(guò)MFA和其他強(qiáng)大的身份驗(yàn)證檢查。更令人擔(dān)憂(yōu)的是，Mandiant警告稱(chēng)，即使CVE-2023-4966已修補(bǔ)，這些被劫持的會(huì)話(huà)仍可能被威脅行為者使用。該公司建議客戶(hù)除了修補(bǔ)Citrix Bleed之外還應(yīng)采取其他緩解措施。

11月份，金融服務(wù)信息共享和分析中心警告說(shuō)，臭名昭著的LockBit勒索軟件團(tuán)伙正在利用Citrix Bleed。CISA和FBI在一份聯(lián)合咨詢(xún)中針對(duì)LockBit攻擊發(fā)出了類(lèi)似的警告，并表示這些機(jī)構(gòu)預(yù)計(jì)該漏洞將被“廣泛利用”。

10.思科IOS XE（“滿(mǎn)分漏洞”）

2023年10月16日，思科披露了其IOS XE軟件中的一個(gè)高危零日漏洞，CVSS評(píng)分高達(dá)10分。思科警告說(shuō)，該零日漏洞影響啟用了Web用戶(hù)界面功能的所有版本的IOS XE。遠(yuǎn)程攻擊者可以利用該漏洞獲得設(shè)備的最高級(jí)別特權(quán)訪問(wèn)。該漏洞披露時(shí)還沒(méi)有可用的補(bǔ)丁，思科建議客戶(hù)禁用所有易受攻擊系統(tǒng)的HTTP服務(wù)器功能。

在博客文章中，思科Talos研究人員表示，漏洞利用活動(dòng)于2023年9月18日開(kāi)始，并且這一系列攻擊是由同一名身份不明的威脅發(fā)起者發(fā)起的。威脅行為者利用該漏洞在受感染的設(shè)備上部署名為BadCandy的Cisco Talos植入程序。

就在思科首次披露漏洞后一天，安全供應(yīng)商警告稱(chēng)，CVE-2023-20198正面臨大規(guī)模利用。例如，VulnCheck對(duì)易受攻擊的IOS XE實(shí)例的互聯(lián)網(wǎng)掃描發(fā)現(xiàn)了數(shù)千個(gè)被植入的主機(jī)。10月22日，思科發(fā)布了CVE-2023-20198補(bǔ)丁，并披露了思科Talos研究人員在調(diào)查過(guò)程中發(fā)現(xiàn)的第二個(gè)相關(guān)漏洞（CVE-2023-20273）。隨著該漏洞的大規(guī)模利用，思科敦促所有客戶(hù)應(yīng)用補(bǔ)丁并實(shí)施建議的緩解措施。