美國國土安全部網路安全暨基礎安全局(CISA)發表報告,詳細介紹了2020年和2021年常被利用的漏洞。報告指出,攻擊者最喜歡的新目標是在2019年後公布的遠端工作、VPN和雲端技術相關漏洞。隨著遠端工作的普及,網路攻擊者也在利用新的遠端工作相關未修補漏洞,而網路防禦者則必須努力地追上修補工作。一旦進行漏洞攻擊,駭客可以利用遠端程式碼執行(RCE)、任意程式碼執行(arbitrary code execution)、路徑遍歷(path traversal)或其他技術來控制目標電腦。
遠端工作相關漏洞在2020年對攻擊者來說很有吸引力。倉促部署雲端協同服務很容易導致安全配置的疏忽。最常被利用的前三個漏洞 – CVE-2019-19781、CVE-2019-11510、CVE-2018-13379都出現在VPN服務。
儘管有新面孔,但有些舊漏洞仍然受到攻擊者的歡迎。CVE-2017-11882、CVE-2018-7600和CVE-2019-0604在「2016-2019年最常被利用漏洞」榜單上位列前10名,也進入了2020年的前10名。
CVE-2019-19781
CVE-2019-19781是攻擊者如何利用未修補空窗期來利用漏洞的完美範例。
Citrix Netscaler應用程式交付控制軟體(ADC)漏洞是2020年被利用最多的漏洞。ADC是在美國各地被廣泛用於網頁、應用程式和資料庫伺服器的負載平衡應用程式。未經修補的裝置因為無法做好存取控制而容易遭受RCE攻擊和讓整個系統淪陷,從而讓攻擊者可以進行(directory traversal)。
CVE-2019-19781在2019年底公布,很快就遭受多種漏洞攻擊。這些漏洞攻擊擴散到多個國家,包括美國、哥倫比亞、阿根廷和瑞士。這些攻擊在2021上半年有所消減,趨勢科技入侵防禦系統(IPS)解決方案偵測到的漏洞攻擊不到 7,000次。
CVE-2019-11510
亞軍的CVE-2019-11510顯示出即使有了官方修補程式,未經修補的漏洞也會遭受網路攻擊。
Pulse Secure Connect漏洞經常成為國家級「APT進階持續性滲透攻擊」的目標,容易造成未經認證的任意檔案洩露(arbitrary file disclosure)。攻擊者可以利用此漏洞取得管理憑證。
儘管Pulse Secure在公布漏洞時提供了軟體更新,但仍然有攻擊針對未修補的VPN伺服器,其中有些是為了安裝REvil(Sodinokibi)勒索病毒。根據趨勢科技的資料顯示,大多數攻擊針對的是德國組織。幸運的是,與CVE-2019-19781一樣,CVE-2019-11510的漏洞攻擊活動自2021年2月以來似乎有所減弱。
CVE-2018-13379
CVE-2018-13379是影響Fortinet SSL VPN的漏洞,攻擊者在2020年到2021年間所針對的另一個遠端工作相關漏洞。此漏洞會遭受未經認證的目錄遍歷攻擊,讓攻擊者能夠取得sslvpn_websession 檔案。然後攻擊者就能準確地取得明碼的使用者名稱和密碼。最近的攻擊在2021年1月達到高峰,趨勢科技在2021上半年偵測到近50萬次攻擊。大部分都是針對德國和美國的目標。
CVE-2017-11882
CVE-2017-11882是關於Microsoft OLE技術的漏洞,長期以來一直都是疑受中國、伊朗、朝鮮和俄羅斯等國支持駭客的最愛。這不僅是因為世界上每個地方都在用Microsoft Office,還因為有很多人不會定期更新Office的修補程式。所以可以在有漏洞的系統上執行RCE。雖然漏洞攻擊的數量在2021上半年遠低於2019年的高峰期,但仍是高優先修補等級的漏洞。
CVE-2018-7600
CVE-2018-7600從2019年到2021年一直持續地受到大量攻擊。這是開放內容管理系統Drupal的漏洞。此漏洞存在於多個Drupal版本。攻擊者可以利用它來執行任意程式碼並劫持伺服器。雖然漏洞攻擊數量比起之前2019年和2020年的高峰有所下降,但趨勢科技在2021上半年仍偵測到超過126萬次的漏洞攻擊,受害者分佈在美國、德國和加拿大。
相關文章: 近兩年駭客最常利用之29個漏洞資訊
漏洞(vulnerability)和漏洞利用(exploit)有時被用來表示相同的事情,但實際上它們非常不同。漏洞(vulnerability)是軟體內的弱點,它使得軟體容易遭受攻擊,就類似讓你的房子或商店開了後門一樣。而漏洞利用(exploit)則是為了利用漏洞而開發的程式碼或惡意威脅。這是讓人通過被打開門的方法。
一個漏洞可能有許多的漏洞利用存在。在趨勢科技,我們專注於用我們的IPS技術來虛擬修補漏洞(關門),並且在防毒軟體層級偵測漏洞利用,從而可以阻止所有的漏洞攻擊。當修補程式尚未準備好安裝時,IPS解決方案可以攔截試圖攻擊現有、未知或未公開漏洞的網路連線。它可以識別存取網路的惡意軟體,並增加對存取網路應用程式的能見度或控制能力。
本文節錄自趨勢部落格。