Google的威脅分析小組(TAG)和Mandiant發布報告顯示2023年遭利用的零日漏洞數量大幅增加,其中為間諜軟體供應商及其客戶利用。
去年被利用的零日漏洞高達97個,較前一年的62個增加逾50%,但仍低於2021年106個的高峰。
Google的研究人員近日表示, 2023年觀察到97個零日漏洞遭到野外利用,相較於2022年的62個,增幅高達50%。在
這97個零日漏洞中,研究人員能夠追蹤58個威脅者的動機。其中48個漏洞是由間諜行為者所利用,其餘10個則是由以獲利為目的駭客所利用。
有3個零日漏洞是由FIN11團體利用,另外4個不同的勒索軟體團體 - Nokoyawa、Akira、LockBit和Magniber - 分別利用了另外4個漏洞。報告指出,FIN11團體曾在2021年利用Accellion過時的檔案傳輸應用程式中的零日漏洞,對許多知名機構發動攻擊。
研究人員說:「FIN11團體高度專注於檔案傳輸應用程式,這類應用程式能有效率地存取敏感的受害者資料,不需橫向移動到內部網路,因此能加速資料外洩及獲利的程序。大規模勒索或勒索軟體攻擊所獲得的鉅額收益,很可能為這些團體投資取得新的漏洞提供資金。」
與間諜活動有關的中國駭客組織利用了12個零日漏洞,比2022年的7個有所增加。研究人員對幾個中國網路攻擊行動深入研究後發現,
Barracuda電子郵件安全閘道器的漏洞讓中國駭客可以攻擊東協成員國外交部的電子郵件網域和使用者,以及台灣和香港的外貿辦事處人員和學術研究機構人員。
Google同時示警36個漏洞則用於攻擊以企業為目標的科技,如安全軟體和設備。研究人員表示,在企業領域,我們看到被攻擊的廠商和產品種類更加多樣化,並且有越來越多專門針對企業的技術遭到利用。但是只要修補的漏洞越快,漏洞的可利用生命週期就越短,而且維持這些能力的成本對攻擊者來說就越高。
研究人員發現,威脅者尋找的是那些能「提供廣泛存取多個目標的產品或元件中的漏洞」。像是Barracuda電子郵件安全閘道器、Cisco自適應安全性應用裝置、Ivanti Endpoint Manager Mobile和Sentry,以及趨勢科技的Apex One等企業專用科技,一再成為攻擊目標。
研究人員說,這些產品通常能提供廣泛的存取權限和高階權限。
相關文章:五眼聯盟警告: Ivanti漏洞正遭受攻擊
商業間諜軟體供應商
商業間諜軟體供應商是導致零日漏洞利用的主因,Google將75%已知對Google產品及Android生態系統設備的零日漏洞利用歸咎於商業間諜軟體供應商。
研究人表示,最令人擔憂的是全球對這個產業缺乏規範。國家單位及私人企業多年來一直參與漏洞挖掘及利用。
Google警告, 商業間諜軟體供應商仍持續對世界各地政府出售最新技術,利用消費性裝置和應用程式的漏洞在目標裝置上安裝間諜軟體。目前Google 追蹤至少40家涉及開發間諜軟體和其他駭客工具的公司。這些公司將間諜軟體出售給各國政府,並將其部署在「高風險」使用者身上,如記者、人權維護者和異議人士。
Google提到的一些間諜軟體供應商包括:
- Cy4Gate 和 RCS Lab: 製造 Epeius 及 Hermit 間諜軟體(針對 Android 和 iOS)的義大利公司。
- Intellexa: 由 Tal Dilian 領導的間諜軟體公司聯盟,結合了 Cytrox 的「Predator」間諜軟體和 WiSpear 的 WiFi 攔截工具等技術。
- Negg Group: 知名於 Skygofree 惡意軟體和 VBiss 間諜軟體的義大利商業監控供應商,透過利用連環攻擊鎖定行動用戶。
- NSO Group: 開發 Pegasus 間諜軟體和其他商業間諜工具的以色列公司。
- Variston: 西班牙間諜軟體製造商,與 Heliconia framework 有關,亦知與其他供應商在零日漏洞上合作。
跨瀏覽器攻擊
Google還指出,
第三方元件和程式庫中的漏洞「是主要的攻擊面」,因為它們常常會影響多款產品」。
在2023年針對瀏覽器的攻擊有所增加,Google觀察到3個跨瀏覽器的零日漏洞利用,其實是利用了影響多款瀏覽器的第三方元件漏洞。Google 指出影響Chrome的CVE-2023-4863和影響Safari的CVE-2023-41064「實際上是相同的漏洞」,它也同步影響到Android和Firefox。去年也遭到利用的CVE-2023-5217也就是libvpx漏洞,也存在於多個瀏覽器工具。
研究人員表示,2023年有8個針對Chrome、11個針對Safari的野外零日漏洞。
Google警告,隨著越來越多駭客積極投資研發,遭利用的零日漏洞數量可能會持續增加。零日漏洞的利用已不再是少數行為者才能掌握的能力,我們預期在過去幾年所看到的成長趨勢可能會持續下去,威脅者將越來越多資源投入零日漏洞的利用。
最後,Google認為這份報告最令人振奮的發現是廠商的因應措施,像是Google的MiraclePtr和蘋果的Lockdown模式,兩者都成功阻止了許多野外利用鏈的攻擊。這顯示廠商在資安的投資,確實能有明顯的效果,讓攻擊者更難利用零日漏洞攻擊
Google建議高風險的 Chrome 用戶啟用「HTTPS 優先模式」,並停用 v8 優化器,以消除由即時編譯(JIT)引入的潛在安全漏洞,從而防止攻擊者操縱資料或注入惡意程式碼。
本文轉載自TheRecord、 bleepingcomputer。