​云安全风险情报（05.01-05.07）

本周云上攻击态势

一、总览

本周，腾讯安全【云上威胁狩猎系统】(后简称WeDetect)共捕获到 62 个有效漏洞攻击事件（其中包含 3 个新捕获漏洞）、4 种持久化攻击类型、424 个活跃攻击IP。

对比上周，活跃漏洞数量减少 6 个，活跃攻击IP数量增加 87 个。

二、近期曝光利用的漏洞攻击

攻击者利用新曝光PoC或EXP的动作越来越快，腾讯安全已监测到漏洞武器曝光和在野攻击在同一天的案例。近期曝光利用的漏洞，具有更强的时效性和成功率，相应地需要重点关注、积极防御，尽早发现和修复风险。

本周通过其中一个上述类型漏洞的活跃曲线，帮助大家直观地了解此类漏洞云上攻击趋势。腾讯安全近期监控到“Apache Druid远程代码执行漏洞”（Apache Druid受CVE-2023-25194影响）在被广泛讨论，随即WeDetect捕获到该漏洞的云上在野攻击，自漏洞公开其在网攻击趋势如下：

三、Top 5 漏洞和攻击趋势

云上Top 5漏洞攻击所利用的漏洞信息如下，具有相关资产的用户可以关注并排查是否已修复，提高相关工作的优先级。

1）Top5 漏洞及占比

本周WeDetect共感知 69 种漏洞攻击事件，其中Top 5漏洞为：

• CVE-2022-26134 (53.35%)[↓1.37%]

• CVE-2021-22205 (12.13%)[↑1.73%]

• CVE-2021-26084 (8.01%)[↑0.09%]

• CVE-2021-44228 (5.53%)[+]

• Jenkins /scriptText 弱口令/未授权 导致RCE (3.94%)[+]

  对比上周，本周使用 Log4shell 以及 Jenkins /scriptText 的明显增多。

2）Top5 漏洞攻击趋势

通过漏洞活跃指数，可观察热点漏洞近两周活跃情况，了解此类漏洞攻击属于短期爆发型还是长期稳定型。

Confluence 远程代码执行漏洞(CVE-2022-26134)：

GitLab 远程命令执行漏洞(CVE-2021-22205)：

Confluence Webwork OGNL表达式注入漏洞(CVE-2021-26084)：

Apache Log4j 输入验证错误漏洞(CVE-2021-44228)：[突发波动]

Jenkins /scriptText 弱口令/未授权 导致RCE：

四、Top 持久化攻击

感知持久化后门攻击，侧重于捕获攻击者通过WebShell、后门等手段对目标进行持续渗透攻击的过程。通过云上持久化攻击感知和挖掘，可回溯到相关的历史活跃漏洞情况，并为后门清理、漏洞修补提供参考。

本周云上Top持久化后门攻击：

• Weblogic被攻击植入Webshell后利用

• ApiSix CVE-2022-24112 植入后门后利用

• CTF/靶场类环境被利用

五、云上攻击威胁情报

通过对漏洞攻击事件的分析，可梳理出关联的攻击者及漏洞利用攻击行为等威胁情报。

1）Top5 攻击者IP及漏洞利用情况

本周云上Top5 攻击者IP：

• 96.251.xx.xx (11.27%)

• 96.124.xx.xx (10.84%)

• 254.25.xx.xx (9.7%)

• 204.170.xx.xx (10.84%)

• 209.150.xx.xx(11.27)

其中，在Top5 攻击者IP中，各自使用最多的CVE漏洞为：

• CVE-2021-22205

• CVE-2021-26084

• CVE-2022-26134

2）Top3 漏洞攻击行为

攻击者在使用漏洞攻击的过程中，通常伴随带有目的性的攻击行为。通过WeDetect可挖掘出发起攻击的一些热门攻击行为，洞察攻击背后的真实意图。

本周云上Top3 漏洞攻击行为：

• 下载执行恶意文件类 (63.02%)

• 漏洞验证类 (34.3%)

• 持久化后门类 (1%)

• 反弹shell类（1.51%）

各类行为的Top3 攻击者IP占比：

了解更多

如需更全面了解云上漏洞攻击态势和详情，请联系【[email protected]】。

扩展信息：每月必修漏洞清单

为减少企业的漏洞攻击面，还可以参考腾讯安全每月发布的必修漏洞清单。

近期参考链接：