在网络犯罪分子和黑客聚集于商业秘密和非法商品的暗网中,漏洞很容易成为许多人的武器,其后果可能是灾难性的。
暗网论坛上操作漏洞的迅速出现令人不寒而栗,证明了网络犯罪分子的狡猾程度。他们的活动超出了已披露的漏洞范围,在零日漏洞利用市场(黑客的圣杯)中蓬勃发展。
2023 年初,
CVE-2022-24086(
Adobe Commerce 中的远程代码执行 (
RCE
))漏洞被挂牌出售,售价高达
30,000 美元
。这个价格证明了此类漏洞的价值,并让我们了解它们在恶意行为者手中可能产生的潜在破坏性影响。
Tor Metrics
预计 2023 年用户数量
根据 Tor Metrics 的数据, 2023 年
暗网的
活动大幅增加。每日访问量从年初的 250 万以上增加到年底的 500 万。峰值出现在 2023 年 10 月中旬,每日游客量达到 850 万以上。
在这些用户中,很大一部分可能是从事非法活动或寻求敏感信息和利用漏洞来破坏目标组织的威胁行为者。这种不断升级的趋势需要我们立即关注。
在本文中,我们将穿越暗网,探索 2023 年困扰数字领域的十大漏洞。从零日漏洞到供应商披露的后果,我们探讨了暗网中存在的威胁。
1. JetBrains TeamCity 身份验证绕过漏洞,CVE-2023-42793
JetBrains
TeamCity
是持续集成和部署 (CI/CD) 的重要工具,其中存在一个严重的身份验证绕过漏洞,成为网络威胁参与者的焦点。
CVE-2023-42793
在其披露后的短短两周内,俄罗斯 Telegram 频道就出现了一个漏洞,该频道以分享与渗透测试和已记录漏洞的 PoC 相关的帖子而闻名。
TeamCity 漏洞的 PoC 漏洞 CVE-2023-42793
该漏洞很快就进入了黑客论坛,使其他威胁参与者能够尝试利用该漏洞。值得注意的是,与俄罗斯对外情报局 (SVR) 相关的 APT29 组织积极利用
CVE-2023-42793
。他们以软件开发人员网络为目标,利用初始访问权限升级权限并在网络内横向移动,同时部署额外的后门。
此外,2023 年 10 月,微软透露朝鲜国家支持的黑客组织 Lazarus 和 Andariel 正在使用 CVE-2023-42793 为受害者的网络设置后门。
2.Progress MOVEit Transfer
SQL注入漏洞:CVE-2023-34362
2023 年 5 月 31 日,Progress Software 检测到困扰
MOVEit
(一种广泛使用的文件传输解决方案)的严重漏洞并发布了公告。
MOVEit 在全球范围内得到广泛使用,为政府机构、金融机构以及各种公共和私营部门组织提供服务。
CVE-2023-34362(SOCRadar)
Cl0p 勒索软件组织利用此漏洞获得了未经授权的访问,在 2023 年全年造成了严重破坏。他们的行动入侵了全球 2,500 多个组织,由于未修补的 MOVEit 实例,影响了超过 7700 万人。
尽管 Cl0p 在利用
CVE-2023-34362
方面臭名昭著,但其他威胁参与者也在暗网论坛上分享了与该漏洞相关的漏洞利用。
CVE-2023-34362 漏洞被 MOVEit 共享
3. Citrix NetScaler ADC/网关代码注入漏洞,CVE-2023-3519
CVE-2023-3519
影响
Citrix NetScaler ADC 和网关
实例,允许未经身份验证的远程代码执行,使攻击者能够在受影响的系统上执行任意代码,而无需任何权限或用户交互。
其披露后,研究人员观察到了几次尝试性的利用,相关的 IP 地址证明了这一点。
在为该漏洞保留 CVE 代码两周内,第一个概念验证 (PoC) 漏洞开始浮出水面。值得注意的是,甚至在供应商披露该漏洞之前,SOCRadar 就检测到该漏洞的 RCE 漏洞正在暗网论坛上出售,并将其称为零日漏洞。
Citrix ADC 的新 0day 漏洞正在发售
4. PaperCut MF/NG 不当访问控制漏洞,CVE-2023-27350
2023 年 4 月中旬,
PaperCut在客户服务器上检测到可疑活动,表明未打补丁的服务器因
CVE-2023-27350
漏洞 而被广泛利用 ,从而允许 RCE 攻击。初步调查表明 TrueBot 恶意软件参与其中,该恶意软件与名为“Silence”的俄罗斯黑客有关。
此外,攻击者利用 另一个影响 PaperCut 的漏洞
CVE-2023-27351
从易受攻击的 PaperCut NG 或 MF 实例中提取敏感信息。
5 月,研究人员针对该关键漏洞开发了多个 PoC 漏洞,随后成为众多威胁参与者的关注焦点。这些攻击者利用该漏洞部署
Cl0p
、
LockBit
和 Bl00dy 等勒索软件。
微软还报告称,名为 Mint Sandstorm 和 Mango Sandstorm 的国家支持的威胁行为者利用该漏洞攻击未修补的 PaperCut 实例,凸显了该问题的广泛影响和严重性。
CVE-2023-27350
未来需要可行的情报和快速响应
在威胁行为者越来越多地被吸引到暗网寻找有利可图的机会的时代,组织面临着越来越大的违规和利用风险。更令人担忧的是,勒索软件的威胁日益凸显,威胁着组织的财务稳定和声誉。
暗网在传播漏洞和已知 CVE 方面的作用加剧了这种情况,为全球威胁行为者提供了肥沃的土壤。这种漏洞的广泛存在加剧了一种不祥的预感,让组织处于紧张状态,不确定自己何时会成为受害者。
为了应对这一威胁,采取积极主动的措施至关重要。利用可操作的威胁情报变得至关重要,使组织能够快速识别和解决需要立即关注的漏洞。
此外,借助
攻击面管理
模块,组织可以及时收到警报,在攻击发生之前警告他们存在安全问题,从而确保采取主动的安全方法并增强针对网络威胁的整体弹性。
通过利用这些情报,组织可以简化其
漏洞管理
工作,做出明智的决策,以保护其系统和数据免受恶意行为者的侵害。
5. RARLAB WinRAR 代码执行漏洞,CVE-2023-38831
Google 的威胁分析小组 (TAG) 发现政府支持的黑客组织利用
CVE-2023-38831
漏洞,该漏洞在处理特定档案时会触发
WinRAR
中的意外文件扩展 。该漏洞使攻击者能够通过诱骗用户打开 ZIP 存档中看似无害的文件来执行任意代码。
此严重漏洞已被用作零日漏洞来执行任意代码并向受感染的系统传送恶意软件。
CVE-2023-38831
Google 的调查结果显示,威胁行为者至少自 2023 年 4 月起就一直在利用该漏洞,以金融交易员为目标并传播各种恶意软件。披露后,PoC 漏洞和漏洞生成器在 GitHub 和黑客论坛上迅速激增。
还观察到出于经济动机的 APT 参与者试图利用 CVE-2023-38831。
CVE-2023-38831 漏洞被 WinRAR 共享
下面列出了利用 CVE-2023-38831 的活动:
-
与俄罗斯 GRU 有联系的 SANDWORM 冒充了一所乌克兰无人机作战学校。他们使用包含良性 PDF 和包含漏洞的恶意 ZIP 文件的网络钓鱼电子邮件,部署了 Rhadamanthys infostealer。
-
APT28 也与俄罗斯 GRU 有联系,对乌克兰政府组织进行鱼叉式网络钓鱼。他们使用免费托管提供商来提供该漏洞利用服务,将其伪装成来自 Razumkov 中心的文档,并通过 PowerShell 执行 IRONJAW 脚本。
-
APT40 归因于中国,目标是巴布亚新几内亚。网络钓鱼电子邮件包含带有漏洞的 ZIP 存档的 Dropbox 链接、受密码保护的诱饵 PDF 和 LNK 文件。
-
APT29
利用 CVE-2023-38831 攻击欧洲大使馆。据乌克兰国家安全与国防委员会称,该活动于 2023 年 9 月开始,针对阿塞拜疆、希腊、罗马尼亚和意大利的外交实体。
6. Microsoft 流服务代理权限升级漏洞,CVE-2023-36802
正如 Microsoft 在2023 年 9 月补丁星期二中披露的那样,影响 Microsoft Streaming Service Proxy 的
CVE-2023-36802
作为零日漏洞出现 。利用此漏洞授予攻击者 SYSTEM 权限。
尽管该漏洞于 2023 年 9 月被披露,但其漏洞早在 2023 年 2 月就已在暗网论坛上流通并可供购买。报告显示,在 Microsoft 和 CISA 就其漏洞发布建议之前的七个月里,暗网论坛上的活跃销售已持续了 7 个月。
CVE-2023-36802
7. Microsoft Windows 通用日志文件系统 (CLFS) 驱动程序权限提升漏洞,CVE-2023-28252
Microsoft
在 2023 年 4 月补丁星期二版本中 解决了
CVE-2023-28252 ,关闭了攻击者积极利用来传播
Nokoyawa 勒索软件的
零日漏洞 。
此漏洞存在于 Windows 通用日志文件系统 (CLFS) 驱动程序中,提供了权限升级的途径。利用 CVE-2023-28252 使攻击者能够获得系统权限。
CVE-2023-28252
自 2022 年初成立以来,Nokoyawa 勒索软件组织从 2022 年 6 月开始,利用了另外五个以上的 CLFS 漏洞来针对零售、制造和医疗保健等广泛行业。
除了暗网论坛上 CLFS 漏洞的利用分享之外,某些参与者还主动在其 Telegram 社区内传播该漏洞的 PoC 材料。
Telegram 频道帖子中包含 CVE-2023-28252 的 PoC 漏洞
