​云安全风险情报（4.22-4.28）

本周云上攻击态势

一、总览

本周，腾讯安全【云上威胁狩猎系统】(后简称WeDetect)共捕获到 68 种有效漏洞攻击事件（其中包含 4 种新出现漏洞）、2 种持久化攻击事件、337 个攻击者IP。

二、近期曝光利用的漏洞攻击

攻击者利用新曝光PoC或EXP的动作越来越快，腾讯安全已监测到漏洞武器曝光和在野攻击在同一天的案例。近期曝光利用的漏洞，具有更强的时效性和成功率，相应地需要重点关注、积极防御，尽早发现和修复风险。

本周通过其中一个上述类型漏洞的活跃曲线，帮助大家直观地了解此类漏洞云上攻击趋势。腾讯安全近期监控到“FUXA V.1.1.13-1186未授权RCE漏洞”的利用武器被公开，随即WeDetect捕获到该漏洞的云上在野攻击，本周攻击趋势如下：

三、Top 5 漏洞和攻击趋势

云上Top 5漏洞攻击所利用的漏洞信息如下，具有相关资产的用户可以关注并排查是否已修复，提高相关工作的优先级。

1）Top5 漏洞及占比

本周WeDetect共感知 69 种漏洞攻击事件，其中Top 5漏洞为：

• CVE-2022-26134 (54.72%)

• CVE-2021-22205 (10.40%)

• CVE-2021-26084 (7.92%)

• CNVD-2021-101525 (6.12%)

• CVE-2020-14882 (4.03%)

2）Top5 漏洞攻击趋势

通过漏洞活跃指数，可观察热点漏洞一周活跃情况，了解此类漏洞攻击属于短期爆发型还是长期稳定型。

Confluence 远程代码执行漏洞(CVE-2022-26134)：

GitLab 远程命令执行漏洞(CVE-2021-22205)：

Confluence Webwork OGNL表达式注入漏洞(CVE-2021-26084)：

Hadoop YARN 资源管理系统 REST API未授权访问(CNVD-2021-101525)：

Weblogic 未授权命令执行(CVE-2020-14882)：

四、Top 持久化攻击

感知持久化后门攻击，侧重于捕获攻击者通过WebShell、后门等手段对目标进行持续渗透攻击的过程。通过云上持久化攻击感知和挖掘，可回溯到相关的历史活跃漏洞情况，并为后门清理、漏洞修补提供参考。

本周云上Top持久化后门攻击：

• Weblogic被攻击植入Webshell后利用

• Tomcat弱口令导致RCE(Webshell利用)

  
  

五、云上攻击威胁情报

通过对漏洞攻击事件的分析，可梳理出关联的攻击者及漏洞利用攻击行为等威胁情报。

1）Top3 攻击者IP及漏洞利用情况

本周云上Top3 攻击者IP：

• 109.237.xx.xx (12.5%)

• 109.237.xx.xx (12.6%)

• 152.89.xx.xx (9.37%)

其中，在Top3 攻击者IP中，各自使用最多的CVE漏洞为：

• CVE-2021-22205

• CVE-2021-26084

2）Top3 漏洞攻击行为

攻击者在使用漏洞攻击的过程中，通常伴随带有目的性的攻击行为。通过WeDetect可挖掘出发起攻击的一些热门攻击行为，洞察攻击背后的真实意图。

本周云上Top3 漏洞攻击行为：

• 下载执行恶意文件类 (65.99%)

• 漏洞验证类 (32%)

• 持久化后门类 (1%)

各类行为的Top3 攻击者IP占比：

了解更多

如需更全面了解云上漏洞攻击态势和详情，请联系【[email protected]】。

扩展信息：每月必修漏洞清单

为减少企业的漏洞攻击面，还可以参考腾讯安全每月发布的必修漏洞清单。

近期参考链接：