譯者 | 晶顏

審校 | 重樓

2023年，威脅行為者已經(jīng)發(fā)現(xiàn)了大量漏洞，并積極利用這些漏洞進行惡意攻擊，例如勒索軟件、網(wǎng)絡間諜、數(shù)據(jù)盜竊、網(wǎng)絡恐怖主義和許多國家支持的活動。

一些漏洞已被添加到CISA的已知被利用漏洞（KEV）目錄中，并被標記為亟需補丁的高危漏洞。Microsoft、Citrix、Fortinet、Progress和許多其他供應商的產(chǎn)品均受到了這些漏洞的影響。

概括來看，2023年最易被濫用的漏洞包括：

• MOVEit漏洞（CVE-2023-34362）
• Microsoft Outlook特權升級漏洞（CVE-2023-23397）
• Fortinet FortiOS漏洞（CVE-2022-41328）
• ChatGPT漏洞（CVE-2023-28858）
• Windows通用日志文件系統(tǒng)驅(qū)動程序權限升級漏洞（CVE-2023-28252）
• Barracuda郵件安全網(wǎng)關漏洞（CVE-2023-2868）
• Adobe ColdFusion漏洞（CVE-2023-26360）
• Citrix Bleed漏洞（CVE 2023-4966）
• Windows SmartScreen繞過漏洞（CVE-2023-24880）
• SugarCRM遠程代碼執(zhí)行漏洞（CVE-2023-22952）

Progress MOVEit SQL注入漏洞

2023年5月，MOVEit Secure Managed File Transfer 軟件中被曝存在一個嚴重的零日SQL注入漏洞（CVE-2023-34362）。由于該漏洞的嚴重性，CISA于2023年6月初發(fā)布了針對該漏洞的公告。

MOVEit Transfer是一款商業(yè)安全托管文件傳輸（MFT）軟件解決方案，支持使用SFTP、SCP和HTTP的方式在組織及其客戶之間安全移動和上傳文件。

MOVEit Transfer受到該SQL注入漏洞的影響，可能允許未經(jīng)身份驗證的攻擊者訪問MOVEit Transfer的數(shù)據(jù)庫。結構化查詢語言（SQL）允許對關系數(shù)據(jù)庫執(zhí)行查詢和命令。注入漏洞允許攻擊者操縱這些查詢來利用系統(tǒng)檢索數(shù)據(jù)或進行更改。

在這種情況下，攻擊者可以從原本受到保護的數(shù)據(jù)庫中提取數(shù)據(jù)，執(zhí)行自己的SQL查詢，以及更改和刪除數(shù)據(jù)。此漏洞（CVE-2023-34362）存在于易受SQL注入攻擊的2021.0.6（13.0.6）、2021.1.4（13.1.4）、2022.0.4（14.0.4）、2022.1.5（14.1.5）和2023.0.1（15.0.1）之前的Progress MOVEit Transfer版本中。

據(jù)悉，該漏洞于2023年5月和6月被CL0P勒索軟件組織濫用，政府、金融、媒體、航空和醫(yī)療機構等行業(yè)都受到了影響，數(shù)據(jù)被竊取。

此漏洞的嚴重性為9.8（嚴重）。Progress已經(jīng)發(fā)布了修復此漏洞的補丁版本以及預防措施。

Microsoft Outlook特權提升漏洞

這一特權提升漏洞（CVE-2023-23397）存在于所有版本的Outlook客戶端中，包括用于Android、iOS、Mac和Windows用戶的Outlook。威脅參與者可以通過發(fā)送特制郵件來利用此漏洞，從而自動觸發(fā)此漏洞利用。

此外，這是一個無需用戶交互的“零點擊”（zero-click）漏洞。成功利用此漏洞會泄露受害者的Net-NTLMv2散列，然后可以使用這些散列對其他系統(tǒng)執(zhí)行中繼攻擊，并將威脅參與者身份驗證為目標用戶。

一個來自俄羅斯的威脅行為者利用這個漏洞來攻擊歐洲的政府、交通、能源和軍事部門。此漏洞的嚴重程度為9.8（嚴重）。微軟已經(jīng)發(fā)布了一個補丁版本來解決這個漏洞。

Fortinet FortiOS路徑遍歷漏洞

2023年3月，Fortinet官方發(fā)布了一份安全公告，修復了FortiOS中的一個路徑遍歷漏洞（CVE-2022-41328）。此漏洞的嚴重程度為7.1（高危），且已被一個網(wǎng)絡間諜組織用于攻擊政府。

由于對路徑名限制不當，FortiOS多個版本中均存在該漏洞，包括FortiOS 6.0所有版本、FortiOS 6.2所有版本、6.4.0 <= FortiOS 版本<= 6.4.11、7.0.0 <= FortiOS 版本<= 7.0.9、7.2.0 <= FortiOS版本<= 7.2.3。該漏洞允許特權威脅參與者通過精心制作的CLI命令在底層系統(tǒng)上讀取和寫入任意文件。

目前該漏洞已經(jīng)修復，受影響用戶可升級到以下版本：

• FortiOS版本>= 6.4.12；
• FortiOS版本>= 7.0.10；
• FortiOS版本>= 7.2.4

ChatGPT Off-by-one漏洞

off-by-one指程序向緩沖區(qū)中寫入時，寫入的字節(jié)數(shù)超過了這個緩沖區(qū)本身所申請的字節(jié)數(shù)并且只越界了一個字節(jié)。

ChatGPT Off-by-one漏洞（CVE-2023-28858）存在于4.5.3之前的ChatGPT版本的redis-py中，如果兩個用戶同時處于活動狀態(tài)，則允許用戶查看其他人的聊天歷史記錄。此外，OpenAI表示，“在這個漏洞存在期間，有1.2%的ChatGPT Plus活躍用戶的支付相關信息可能無意中被看到?！?/span>

OpenAI在接到通知后已經(jīng)迅速修補了這個漏洞。此漏洞的嚴重程度為3.7（低危）。

Windows通用日志文件系統(tǒng)（CLFS）驅(qū)動程序權限升級漏洞

通用日志文件系統(tǒng)（CLFS）是一個通用目的的日志文件系統(tǒng)，它可以從內(nèi)核模式或用戶模式的應用程序訪問，用以構建一個高性能的事務日志。

Windows CLFS驅(qū)動程序權限升級漏洞（CVE-2023-28252）造成了大規(guī)模的數(shù)字混亂，影響所有受支持的Windows服務器和客戶端版本，并且可以由本地攻擊者在低復雜性攻擊中進行操縱，而無需任何用戶交互。成功利用該漏洞允許威脅行為者獲得系統(tǒng)權限，本質(zhì)上是支持他們完全入侵目標Windows系統(tǒng)。

火上澆油的是，IT 安全咨詢公司Fortra的安全研究人員發(fā)布了CVE-2023-28252漏洞的技術細節(jié)和概念驗證（PoC）漏洞利用代碼，該漏洞可升級為系統(tǒng)權限。

據(jù)悉，Nokoyawa勒索軟件組織已于2023年4月積極利用這一漏洞攻擊組織。此漏洞的嚴重程度為7.8（高危）。微軟已經(jīng)發(fā)布了補丁來修復這個漏洞。

Barracuda電子郵件安全網(wǎng)關REC漏洞

2023年5月23日，Barracuda Networks披露了其電子郵件安全網(wǎng)關（ESG）設備中的一個零日漏洞（CVE-2023-2868）。調(diào)查顯示，該遠程命令注入漏洞早在2022年10月就已被利用。

由于在處理.tar文件時操作不當，Barracuda Email安全網(wǎng)關版本5.1.3.001-9.2.0.006中均存在此漏洞。威脅參與者可以利用此漏洞并使用產(chǎn)品權限執(zhí)行系統(tǒng)命令。

據(jù)悉，該漏洞已被網(wǎng)絡間諜組織用于從事間諜活動和其他活動。此漏洞的嚴重程度為9.8（嚴重）。Barracuda Networks已經(jīng)針對此漏洞發(fā)布了補丁。

Adobe ColdFusion任意代碼執(zhí)行漏洞

Adobe ColdFusion是美國Adobe公司的一款動態(tài)Web服務器產(chǎn)品。

2023年3月，Adobe發(fā)布ColdFusion安全更新，修復了ColdFusion 2018和2021中的多個安全漏洞。其中，Adobe ColdFusion訪問控制不當漏洞（CVE-2023-26360）嚴重程度為9.8（嚴重），允許惡意行為者在未經(jīng)身份驗證的情況下利用該漏洞執(zhí)行任意代碼，而無需用戶交互。

據(jù)悉，此漏洞（CVE-2023-26360）影響Adobe ColdFusion版本2018 Update 15（及更早版本）和2021 Update 5（及更早版本）。調(diào)查顯示，一個未知的威脅行為者在2023年6月和7月利用了這個漏洞。

Citrix Bleed漏洞

Citrix Bleed漏洞（CVE 2023-4966）存在于多個版本的Citrix NetScaler ADC和Gateway設備中，允許威脅行為者檢索受影響設備上的敏感信息。要利用該漏洞，需要將設備配置為網(wǎng)關（虛擬服務器、ICA代理、CVPN、RDP代理）或授權和計費（AAA）虛擬服務器。未授權的遠程攻擊者可通過利用此漏洞，竊取敏感信息。

LockBit 3.0勒索軟件組織在2023年11月積極利用了這個漏洞。

此漏洞的嚴重程度為7.5（高危）。針對此漏洞存在公開可用的利用代碼，并且發(fā)現(xiàn)了幾個利用實例。Citrix已經(jīng)發(fā)布了補丁來修復這個漏洞。

Windows SmartScreen安全功能繞過漏洞

威脅參與者可以通過傳遞繞過Web標記（MOTW）警告的惡意MSI文件來利用此漏洞（CVE-2023-24880），潛在地將惡意軟件部署到系統(tǒng)中。這個漏洞已被Magniber勒索軟件和Qakbot惡意軟件攻擊者積極用于攻擊活動中。

此漏洞的嚴重程度為4.4（中危）。此外，該漏洞繞過了先前在Windows SmartScreen上發(fā)現(xiàn)的漏洞。微軟已經(jīng)發(fā)布了補丁來修復這個漏洞。

SugarCRM遠程代碼執(zhí)行漏洞

此漏洞（CVE-2023-22952）存在于SugarCRM的電子郵件模板中，具有任何用戶權限的威脅行為者可以使用特制的請求利用該漏洞。由于缺少輸入驗證，威脅參與者還可以注入自定義PHP代碼。

此漏洞的嚴重程度為8.8（高危）。許多SugarCRM 11.0和12.0產(chǎn)品均受到此漏洞的影響。不過，好在SugarCRM已經(jīng)發(fā)布了補丁來修復這個漏洞。

除了上述列表之外，今年還發(fā)現(xiàn)了許多關鍵漏洞。建議使用這些產(chǎn)品的用戶升級到最新版本，以防止這些漏洞被威脅參與者濫用。

原文標題：Top 10 Vulnerabilities That Were Exploited the Most In 2023，作者：Cyber Writes Team