安恒信息:2022年七大在野0day漏洞趨勢與10大熱門漏洞回顧

  • 人閱讀
  • 2023-01-29 15:38:05

  • 來源:搜狐

  • 相關(guān)關(guān)鍵詞

近日,安恒信息中央研究院聯(lián)合安恒信息神盾局正式發(fā)布《2022年度網(wǎng)絡(luò)安全綜合態(tài)勢觀察手冊》。綜合2022年披露的36個(gè)在野0day,安恒威脅情報(bào)中心梳理了值得關(guān)注的七大在野0day漏洞趨勢。

提權(quán)0day數(shù)量維持高位,且多點(diǎn)開花

近年來,隨著主流操作系統(tǒng)和主流瀏覽器引入越來越健全的沙箱機(jī)制,APT組織對提權(quán)漏洞的需求也隨之上升,2022年更是體現(xiàn)出多點(diǎn)開花的趨勢。縱觀2022年,提權(quán)0day在全年在野0day中占比達(dá)43%。無論是Windows、iOS、Mac OS、Pixel操作系統(tǒng),還是FireFox、Exchange應(yīng)用程序,都出現(xiàn)了提權(quán)0day的攻擊案例。以下是整理得到的2022年所有在野提權(quán)0day基本信息。

如果我們把視線聚焦在Windows本地提權(quán)在野0day,今年可以說是品種繁多。今年總共出現(xiàn)了7個(gè)Windows本地提權(quán)在野0day,包括3個(gè)內(nèi)核提權(quán)0day、3個(gè)用戶態(tài)提權(quán)0day和1個(gè)COM+提權(quán)0day。3個(gè)內(nèi)核提權(quán)0day中,包括1個(gè)Win32k驅(qū)動(dòng)內(nèi)核提權(quán)0day和2個(gè)CLFS驅(qū)動(dòng)內(nèi)核提權(quán)0day。值得一提的是,其中一個(gè)CLFS內(nèi)核提權(quán)0day(CVE-2022-37969)由安恒信息獵影實(shí)驗(yàn)室在2022年9月初捕獲并披露。

微軟仍然是0day攻擊的頭號目標(biāo)

在2022年披露的37個(gè)在野0day中,微軟占了13個(gè),高于谷歌和蘋果。這表明2022年微軟仍然是被0day攻擊最多的廠商,這個(gè)趨勢和去年保持一致。

瀏覽器仍然是重災(zāi)區(qū)

在2022年披露的36個(gè)在野0day中,14個(gè)是瀏覽器0day,占比高達(dá)38%。這些瀏覽器0day包括8個(gè)Chrome在野0day,2個(gè)Safari在野0day和2個(gè)Firefox在野0day。此外,雖然IE瀏覽器已經(jīng)退役,但2022年仍然出現(xiàn)了1個(gè)IE在野0day。2022年所有瀏覽器在野0day的基本信息整理如下。

針對Chrome的0day攻擊有所回落

2022年一共披露了9個(gè)Chrome在野0day。這個(gè)數(shù)字顯著低于2021年,造成這個(gè)現(xiàn)象的主要原因是Chrome瀏覽器開發(fā)團(tuán)隊(duì)和谷歌安全團(tuán)隊(duì)為V8引擎設(shè)計(jì)并開發(fā)了針對性的漏洞緩解機(jī)制,這些緩解機(jī)制提高了Chrome漏洞的利用難度。

操作系統(tǒng)0day比例顯著上升

與2021年相比,2022年的操作系統(tǒng)在野0day占比顯著上升(從29%上升到46%)。這主要由兩個(gè)原因造成:一是2022年瀏覽器在野0day占比有所下降(從45%降低到38%),二是2022年提權(quán)在野0day占比仍維持高位(占總數(shù)的43%),而這些提權(quán)0day大多屬于操作系統(tǒng)漏洞。

Exchange 0day攻擊事件再次發(fā)生

安恒信息曾在2021年的APT報(bào)告中預(yù)測Exchange 0day在2022年會(huì)繼續(xù)出現(xiàn),現(xiàn)實(shí)確實(shí)如此。2022年9月底,越南網(wǎng)絡(luò)安全公司GTSC捕獲了兩個(gè)Exchange Server在野0day并進(jìn)行了披露。但令人感到不解的是,這家公司并沒有將這相關(guān)漏洞報(bào)送給微軟,而是報(bào)送給了著名的漏洞收購中間商ZDI,這是一種相當(dāng)危險(xiǎn)的做法。

此次攻擊涉及一個(gè)Exchange Server遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-41082)和一個(gè)Exchange Server權(quán)限提升漏洞(CVE-2022-41040),微軟直到2022年11月的安全更新才將兩個(gè)漏洞完全修復(fù)。

以O(shè)ffice為載體的邏輯漏洞再次出現(xiàn)

2022年,以O(shè)ffice為載體的邏輯漏洞再次出現(xiàn),新出現(xiàn)的漏洞(CVE-2022-30190)和2021年披露的CVE-2021-40444漏洞非常相似:都是以Word文檔作為攻擊入口,都是邏輯漏洞,漏洞利用代碼都存儲(chǔ)在云端。兩者不同的地方在于:CVE-2021-40444是IE瀏覽器的漏洞,而CVE-2022-30190屬于Windows系統(tǒng)MSDT組件的漏洞。

10大熱門漏洞回顧

根據(jù)安恒信息衛(wèi)兵實(shí)驗(yàn)室數(shù)據(jù)分析:截止2022年12月14日,美國非營利組織MITRE頒發(fā)CVE編號31,311個(gè),其中公開披露漏洞數(shù)量已達(dá)18,655個(gè)。結(jié)合新增通用型漏洞總體數(shù)量與危害分布來看,漏洞仍然是網(wǎng)絡(luò)空間安全威脅的最大來源,漏洞數(shù)量持續(xù)增長,危害程度較大漏洞占比維持高位,一些容易被發(fā)現(xiàn)、利用難度不高但危害較大的漏洞類型成為熱點(diǎn)。

在所公開披露的18,655個(gè)漏洞中,已有16,929個(gè)漏洞通過CVSS3計(jì)算公式進(jìn)行定級。按照超危(9.0~10.0)、高危(7.0~8.9)、中危(4.0~6.9)、低危(0.0~3.9)四種漏洞危害等級劃分,其中:超危漏洞2,876個(gè),占比 17%;高危漏洞6,753個(gè),占比 40%;中危漏洞 6840個(gè),占比 40%;低危漏洞 460個(gè),占比3%。漏洞危害等級分布如圖表1 所示,從漏洞危害等級分布來看,超高危漏洞占比較大,超過 2022 年全年公開披露漏洞數(shù)量的 50%。

1、CVE-2022-1040 Sophos Firewall 遠(yuǎn)程代碼執(zhí)行漏洞

該漏洞是Sophos Firewall 的用戶門戶和 Webadmin 中的身份驗(yàn)證繞過漏洞,可利用該漏洞繞過認(rèn)證并執(zhí)行任意代碼,主要是在 User Portal 及 Webadmin 兩個(gè)接口存在認(rèn)證繞過漏洞,利用了 Java 和 Perl 處理解析 JSON 數(shù)據(jù)的差異性,實(shí)現(xiàn)了變量覆蓋,從而導(dǎo)致認(rèn)證繞過及命令執(zhí)行。

2、CVE-2022-22963 Spring Cloud Function SPEL表達(dá)式注入

由于Spring Cloud Function中RoutingFunction類的apply方法將請求頭中的“spring.cloud.function.routing-expression”參數(shù)作為Spel表達(dá)式進(jìn)行處理,造成了Spel表達(dá)式注入漏洞。當(dāng)使用路由功能時(shí),攻擊者可利用該漏洞遠(yuǎn)程執(zhí)行任意代碼。

3、CVE-2022-1388/CNVD-2022-35519 F5 BIG-IP遠(yuǎn)程代碼執(zhí)行

該漏洞是由于iControl REST的身份驗(yàn)證功能存在缺陷,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行身份證繞過攻擊,最終接管設(shè)備控制平臺(tái)。

4、CVE-2022-42475 Fortinet FortiOS sslvpnd遠(yuǎn)程代碼執(zhí)行漏洞

FortiOS sslvpnd存在堆溢出漏洞,未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過特制請求觸發(fā)堆溢出,從而在目標(biāo)系統(tǒng)上執(zhí)行任意代碼或命令。

5、CVE-2022-27518 Citrix ADC和Citrix Gateway遠(yuǎn)程代碼執(zhí)行漏洞

Citrix ADC主要用于將用戶對Web頁面和其他受保護(hù)應(yīng)用程序的請求分配到所有托管(或鏡像)相同內(nèi)容的多臺(tái)服務(wù)器。Citrix Gateway則是一套安全的遠(yuǎn)程接入解決方案,可提供應(yīng)用級和數(shù)據(jù)級管控功能,以實(shí)現(xiàn)用戶從任何地點(diǎn)遠(yuǎn)程訪問應(yīng)用和數(shù)據(jù)。由于系統(tǒng)未能在其整個(gè)生命周期(創(chuàng)建、使用和釋放)保持對資源的控制,致使遠(yuǎn)程攻擊者在未經(jīng)身份驗(yàn)證的情況下可在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

6、CVE-2022-28219/CNVD-2022-29866/CNNVD-202204-2014 Zoho ManageEngine ADAudit Plus遠(yuǎn)程代碼執(zhí)行漏洞

Zoho ManageEngine ADAudit Plus7060之前版本可被未經(jīng)身份驗(yàn)證的攻擊者利用來遠(yuǎn)程執(zhí)行代碼并破壞Active Directory帳戶。該漏洞包括3個(gè)問題:不受信任的Java反序列化、路徑遍歷和盲XML外部實(shí)體(XXE)注入,最終使得未經(jīng)身份驗(yàn)證的攻擊者可利用組合漏洞進(jìn)行遠(yuǎn)程代碼執(zhí)行。

7、ThinkPHP遠(yuǎn)程代碼執(zhí)行

當(dāng)ThinkPHP開啟了多語言功能時(shí),攻擊者可以通過lang參數(shù)和目錄穿越實(shí)現(xiàn)文件包含,當(dāng)存在其他擴(kuò)展模塊如 pear 擴(kuò)展時(shí),攻擊者可進(jìn)一步利用文件包含實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

8、CVE-2022-22965/CNNVD-202203-2642 Spring遠(yuǎn)程代碼執(zhí)行

該漏洞會(huì)影響在 JDK 9+ 上運(yùn)行的 Spring MVC 和 Spring WebFlux 應(yīng)用程序。具體的利用需要應(yīng)用程序作為 WAR 部署在 Tomcat 上運(yùn)行。如果應(yīng)用程序被部署為 Spring Boot 可執(zhí)行 jar,即默認(rèn)值,則它不易受到漏洞利用。

9、CVE-2022-0540/CNNVD-202204-3908 Atlassian Jira Seraph 身份驗(yàn)證繞過漏洞

未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可利用Jira Seraph中的該漏洞,通過發(fā)送特制的HTTP 請求繞過身份驗(yàn)證。

10、CVE-2022-1292 OpenSSL c_rehash 權(quán)限升級

c_rehash腳本沒有正確清理shell元字符以防止命令注入。此腳本由某些操作系統(tǒng)以自動(dòng)執(zhí)行的方式分發(fā)。在此類操作系統(tǒng)上,攻擊者可以使用腳本權(quán)限執(zhí)行任意命令。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )