黑客攻击每年都变得越来越复杂,因此跟踪安全漏洞比以往任何时候都更加重要。本文重点介绍恶意威胁行为者在2022年利用的一些最危险的漏洞。1.Follina(CVE-2022–30190)CVE-2022-30190(非正式名称为“Follina”)于2022年5月作为远程代码执行漏洞披露MicrosoftWindows支持诊断工具(MSDT)中的漏洞,允许远程攻击者在目标系统上执行任意shell命令。自该漏洞被公开披露以来,安全研究人员观察到多个涉及其利用的实例,包括与俄罗斯政府相关的威胁行为者(Sandworm、UAC-0098和APT28)针对乌克兰组织和政府机构的多次网络钓鱼攻击,旨在感染信息窃取恶意软件和针对欧洲和美国政府的网络间谍活动的受害者。Follina漏洞还被用于植入Qbot和AsyncRAT等远程访问工具,并在Windows系统上部署后门。2.Log4Shell(CVE-2021–44228)尽管Log4Shell漏洞在2021年底才被披露,但它仍然位居最常被利用的漏洞列表之首,并且仍然是网络犯罪分子在地下论坛上讨论最多的漏洞之一。CVE-2021-44228是流行的ApacheLog4j开源日志记录实用程序中的一个远程代码执行漏洞。如果威胁行为者利用此漏洞,他们可以向受影响的系统发送特制命令,执行恶意代码,并控制受害者的机器。自2021年12月以来,现已修补的Log4Shell漏洞已被多个威胁行为者利用,从加密货币矿工、DDoS僵尸网络、勒索软件团伙和初始访问代理到与伊朗、朝鲜和土耳其政府有关联的人。相关的政府支持的黑客,仅举几例。最近,观察到威胁行为者使用Log4Shell在未打补丁、面向公众的VMwareHorizo??n和UnifiedAccessGateway服务器上部署恶意软件。3.Spring4Shell(CVE-2022–22965)CVE-2022-22965(Spring4Shell或SpringShell)是VMware广泛使用的开源Java框架SpringFramework中的远程代码执行漏洞,以上述Log4Shell漏洞命名。一旦攻击者实现了远程代码执行,他们就可以安装恶意软件或使用受影响的服务器作为初始立足点来提升权限并攻击整个系统。虽然Spring4Shell不像Log4Shell那样常见或容易被利用,但组织不应掉以轻心,因为它已成为网络犯罪分子手中的武器,用于使用臭名昭著的Mirai恶意软件在僵尸网络中部署加密货币挖掘软件。4.F5BIG-IP(CVE-2022-1388)CVE-2022-1388于2022年5月首次披露,是另一个值得关注的严重漏洞。该漏洞影响F5BIG-IP软硬件套件中的BIG-IPiControlREST认证组件;如果被利用,它可能允许未经身份验证的攻击者在BIG-IP网络设备上以“root”权限执行命令。在过去的几个月中,研究人员发现多次试图利用此漏洞来擦除设备内容或投放恶意WebShell脚本。5.GoogleChrome零日漏洞(CVE-2022-0609)现已修补CVE-2022-0609是GoogleChrome动画“OperationDreamJob”和“OperationAppleJeus”中的一个远程代码执行漏洞,这两个黑客活动针对组织美国的媒体、IT、??加密货币和金融科技行业。6.MicrosoftOffice漏洞(CVE-2017-11882)古老的MicrosoftOffice远程代码执行漏洞(CVE-2017-11882)于2017年首次披露,至今仍是黑客论坛上讨论最多的漏洞之一。虽然微软在近五年前发布了CVE-2017-11882的官方补丁,但许多组织仍未打补丁,这为寻求利用它的网络犯罪分子提供了机会。在最近的一个案例中,威胁参与者利用这个未修补的漏洞部署SmokeLoader恶意软件,以投放其他恶意软件,例如TrickBot。7、ProxyNotShell(CVE-2022-41082和CVE-2022-41040)ProxyNotShell是指两个高危漏洞,分别编号为CVE-2022-41082和CVE-2022-41040,允许远程用户访问PowerShellRemoting时易受攻击执行任意代码或对Exchange系统执行SSRF攻击。这两个漏洞于2022年9月首次披露,据称已被黑客利用数月之久。微软确认黑客利用ProxyNotShell漏洞在被攻击的Exchange服务器上部署了ChinaChopperwebshell恶意脚本。这两个漏洞都在Microsoft的11月补丁星期二中得到解决。8.ZimbraCollaborationSuite漏洞(CVE-2022-27925和CVE-2022-41352)今年早些时候,安全研究人员向公众披露了一个影响广泛使用的电子邮件和协议平台的漏洞:ZimbraCollaborationSuite(ZCS)。两个漏洞(CVE-2022-27925和CVE-2022-41352)。CVE-2022-27925允许远程代码执行,而CVE-2022-41352可被利用将任意文件上传到易受攻击的实例。在2022年7月至2022年10月期间,研究人员发现了多次攻击,包括政府支持的黑客利用这些漏洞破坏了全球数万台ZCS服务器。9.AtlassianConfluenceRCE漏洞(CVE-2022-26134)运行AtlassianConfluence软件的服务器是网络犯罪分子的有吸引力的目标,因为如果不打补丁,它们可能会提供对公司网络的初始访问权限,因此保护它们非常重要。6月,包括Kinsing、Hezb和Dark在内的几个僵尸网络利用AtlassianConfluence的远程执行漏洞(CVE-2022-26134)在未修补的安装上部署加密货币挖掘恶意软件。10.ZyxelRCE漏洞(CVE-2022-30525)另一个值得注意的严重漏洞是CVE-2022-30525,这是一个影响许多企业中的Zyxel防火墙和VPN设备的操作系统命令注入漏洞。一旦成功利用,攻击者无需身份验证即可远程注入任意命令。考虑到这一安全问题的严重性和可能造成的损害,美国国家安全局(NSA)网络安全主管罗伯乔伊斯在推特上警告用户企图利用该漏洞,敦促用户更新易受攻击的Zyxel软件。
