2024年零日漏洞利用七大趋势

虽然所有零日漏洞都需要被CISO及安全团队密切关注并及时修复，但其中有些漏洞因其关键性、创新攻击方式或对企业资产的巨大影响，值得特别留意。这些漏洞不仅揭示了攻击者的新兴目标，还暴露了攻击手法的演变。以下是2024年零日漏洞利用的七大重要趋势，CISO和企业安全团队应特别关注。

2024年，攻击者开始更多地瞄准网络边缘设备，如VPN网关、防火墙、电子邮件安全网关和负载均衡系统。这些设备在企业网络中具有关键作用，功能强大，但安全性较差，往往缺乏足够的监控和更新。攻击者通过这些设备突破网络边界，获取对企业内部网络的访问权限。

例如今年年初，Ivanti Connect Secure和Ivanti Policy Secure等设备就暴露了多个零日漏洞，包括身份验证绕过（CVE-2023-46805）和命令注入（CVE-2024-21887），这些漏洞被组合成攻击链，成功被黑客组织利用。除此之外，像Citrix、Fortinet、Palo Alto Networks等厂商的设备也接连遭遇零日漏洞攻击，凸显了网络边缘设备的高风险。

重点漏洞关注如下：

在未修补的网络边缘设备和应用程序中，已知漏洞（N day）依旧被攻击者利用，这使得这些系统成为2024年攻击者的主要目标。

远程监控和管理（RMM）工具一直是勒索软件攻击的常见目标，尤其在初始访问阶段。RMM工具广泛应用于托管服务提供商（MSP）和企业网络管理中，成为攻击者入侵企业网络的首选途径之一。

2021年，REvil勒索软件集团曾通过Kaseya VSA服务器的漏洞进行攻击，而2024年2月，攻击者又开始利用ConnectWise ScreenConnect中的两个零日漏洞。这两个漏洞分别为CVE-2024-1708（路径遍历问题）和CVE-2024-1709（身份验证绕过）。通过这些漏洞，攻击者能够访问初始设置向导并重置管理员密码，而该向导本应仅在初次安装时运行，并在应用程序设置完成后受到保护。

这些漏洞的存在表明，RMM工具依然是攻击者的重要目标，且由于其在企业网络管理中的关键作用，一旦受到攻击，可能带来严重的安全隐患。

随着勒索软件团伙攻击手段的多样化，管理文件传输（MFT）软件也成为了攻击者的新目标。攻击者通过MFT软件获得初始访问权限，然后进一步渗透企业网络，甚至窃取敏感数据。

2024年12月，攻击者开始利用Cleo LexiCom、VLTrader和Harmony等三款企业文件传输产品中的一个任意文件写入漏洞（CVE-2024-55956）。该漏洞类似于2024年10月Cleo产品中已修复的另一个漏洞（CVE-2024-50623），后者也允许任意文件写入和文件读取。研究称，尽管这两个漏洞位于相同的代码库，并通过相同的端点进行访问，但它们是不同的漏洞，无需链式利用即可单独被利用。

攻击者可以利用CVE-2024-55956将恶意文件写入应用程序的自动启动目录，并通过内置功能执行该文件，从而下载额外的恶意软件负载。这类漏洞使得MFT软件成为了企业网络中的安全薄弱点，给攻击者提供了新的入侵路径。

2023年，Cl0p勒索软件集团曾利用MOVEit Transfer中的一个零日SQL注入漏洞（CVE-2023-34362）窃取了大量企业的数据。今年，MOVEit Transfer再次曝出两个关键的身份验证绕过漏洞（CVE-2024-5806和CVE-2024-5805），这些漏洞的曝光引发了对新一轮攻击浪潮的担忧，尤其是在勒索软件团伙曾多次针对MFT产品展开攻击的背景下。

CI/CD（持续集成与持续交付）工具已成为攻击者渗透企业网络并破坏软件开发流程的关键目标，这些工具不仅为攻击者提供进入企业网络的途径，还可能导致软件开发流水线的受损，进一步引发软件供应链攻击。2020年，SolarWinds Orion软件供应链攻击便是通过CI/CD工具入侵开发环境，植入恶意代码，造成了全球范围的影响。

2024年1月，研究人员发现Jenkins中的路径遍历漏洞（CVE-2024-23897），该漏洞可能导致代码执行。此漏洞被评为关键漏洞，源自软件处理命令行界面（CLI）命令的方式。尽管该漏洞在公开披露时已有修复补丁，因此不算零日漏洞，但攻击者依然迅速采取行动，并在3月开始有迹象显示该漏洞的利用程序已被出售。到了8月，美国网络安全和基础设施安全局（CISA）将其列入已知漏洞利用目录，因为勒索软件集团已开始利用该漏洞入侵企业网络并窃取敏感数据。

CI/CD工具漏洞并不是唯一能够入侵开发或构建环境的方式，恶意开发者也可能通过供应链中的漏洞来获取源代码或植入后门。今年，研究人员揭露了一起长达数年的渗透活动，其中一名恶意开发者使用假身份逐步获得开源项目的信任，并成为XZ Utils库的维护者——这是一种广泛使用的数据压缩库。

该恶意开发者在XZ Utils代码中添加了一个后门，旨在通过SSH实现对系统的未经授权访问。这个后门是偶然被发现的——幸运的是，在恶意版本进入稳定的Linux发行版之前就被发现了。此漏洞（CVE-2024-3094）突显了开源生态系统中供应链攻击的风险，许多生产关键和广泛使用的软件库的项目由于人员短缺和资金不足，往往在接纳新开发者时缺乏足够的审查。

2024年12月，攻击者利用GitHub Actions中的脚本注入漏洞，对PyPI上的Ultralytics YOLO开源AI库的版本进行入侵和后门攻击。类似的脚本注入漏洞已经被文档化，并且可能影响许多托管在GitHub上的项目。这表明，开源供应链的安全漏洞仍然是攻击者渗透的重要手段。

随着AI技术的快速发展，许多企业开始将各种AI框架、库和平台部署到云基础设施中，以提升业务效率。然而，很多企业在使用这些AI相关平台时，往往未能妥善配置安全设置，这使得它们成为了攻击者的新目标。除配置不当外，AI平台本身也可能存在漏洞，允许攻击者访问敏感的知识产权，甚至在服务器上获取访问权限。

今年，一些Jupyter Notebooks实例（用于数据可视化和机器学习的交互式计算平台）成为了僵尸网络的攻击目标，被感染用来进行加密货币挖矿。像Google和AWS这样的云提供商也提供Jupyter Notebooks的托管服务。2024年，Jupyter Notebooks漏洞（CVE-2024-35178）允许未经身份验证的攻击者泄露运行该服务器的Windows用户的NTLMv2密码哈希。如果该密码被破解，攻击者可以利用该凭证向网络中的其他机器执行横向渗透。

尽管远程代码执行漏洞始终是修补的优先事项，但攻击者往往也会利用一些较为“轻微”的漏洞，尤其是特权提升或安全功能绕过漏洞，这些漏洞在攻击链中起着重要作用。

今年，攻击者利用Windows中的多个零日漏洞绕过了SmartScreen提示，使得攻击者能够执行从互联网上下载的恶意文件。SmartScreen是Windows的一项内置安全功能，能够标记并警告带有“网络标记”的可疑文件。对于通过电子邮件附件或下载传播恶意软件的攻击者来说，任何能够绕过SmartScreen的攻击手段都是极为有效的。

此外，特权提升漏洞同样对攻击者非常有用，它可以让恶意代码获得管理员权限。2024年，Windows和Windows Server共报告了11个零日特权提升漏洞，而仅有5个零日远程代码执行漏洞。这些漏洞使得攻击者可以在受害系统上获得更高权限，进一步扩大攻击范围。

2024年零日漏洞的七大趋势揭示了攻击者在攻击手法上的不断进化，以及他们越来越多地瞄准企业网络中关键的新兴领域。面对这些复杂且不断变化的威胁，企业和网络安全团队需要提高警惕，加强防护，通过及时修复已知漏洞、持续监控和加强漏洞管理，企业可以有效减轻零日漏洞带来的风险，提升整体安全防御能力。

文章参考：

https://www.csoonline.com/article/3629815/top-7-zero-day-exploitation-trends-of-2024.html