GreyNoise 已確認(rèn)，在黑帽勒索軟件組織 Black Basta 的內(nèi)部聊天記錄中提到的 62 個(gè)漏洞中，有 23 個(gè)正在被積極利用。這些漏洞涉及企業(yè)軟件、安全設(shè)備和廣泛部署的 Web 應(yīng)用程序，其中多個(gè)關(guān)鍵漏洞在過去的 24 小時(shí)內(nèi)已被利用。

這一發(fā)現(xiàn)凸顯了攻擊者對(duì)已知漏洞的持續(xù)利用，即便是那些未被納入 CISA 已知被利用漏洞（KEV）目錄的漏洞也不例外。最初由網(wǎng)絡(luò)安全公司 VulnCheck 整理泄露的聊天記錄，為外界提供了一個(gè)難得的窗口，了解了勒索軟件運(yùn)營商優(yōu)先利用的漏洞情況。

聊天記錄中的 CVE 列表（由 Vulncheck 整理）：

零日漏洞利用的近期激增

GreyNoise 的全局網(wǎng)絡(luò)監(jiān)測數(shù)據(jù)表明，23 個(gè) CVE 已被積極利用，其中包括 Palo Alto Networks PAN-OS、Cisco IOS XE 和 Microsoft Exchange Server 中的高危漏洞。值得注意的是，WordPress 插件“Post SMTP Mailer”的一個(gè)缺失授權(quán)漏洞（CVE-2023-6875）盡管未被列入 KEV 目錄，但仍被利用，這凸顯了靜態(tài)漏洞列表的局限性。

攻擊者的行動(dòng)速度令人擔(dān)憂，僅在過去的 24 小時(shí)內(nèi)就有 12 個(gè) CVE 被利用，包括：

• CVE-2024-3400（Palo Alto PAN-OS 命令注入）
• CVE-2024-27198（JetBrains TeamCity 認(rèn)證繞過）
• CVE-2023-20198（Cisco IOS XE 權(quán)限提升）
• CVE-2022-41082（Microsoft Exchange 遠(yuǎn)程代碼執(zhí)行）

關(guān)鍵設(shè)備和平臺(tái)的高危漏洞

Palo Alto、Cisco 和 Juniper 的網(wǎng)絡(luò)設(shè)備在漏洞利用列表中占據(jù)主導(dǎo)地位。例如，Palo Alto 的 PAN-OS 中的命令注入漏洞（CVE-2024-3400）允許未經(jīng)驗(yàn)證的攻擊者以 root 權(quán)限執(zhí)行任意代碼。類似地，Cisco IOS XE Web UI 中的漏洞（CVE-2023-20198）再次成為攻擊目標(biāo)，允許攻擊者創(chuàng)建特權(quán)賬戶并部署惡意植入程序。

Juniper Junos OS 的漏洞（CVE-2023-36845 和 CVE-2023-36844）通過 PHP 變量操縱繼續(xù)被利用，從而在 EX 系列交換機(jī)上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。這些攻擊通常發(fā)生在企業(yè)網(wǎng)絡(luò)橫向移動(dòng)之前。

此外，高流量 Web 平臺(tái)仍然脆弱，例如 Atlassian Confluence 的訪問控制繞過漏洞（CVE-2023-22515）和遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2022-26134）正被積極利用。微軟 Exchange Server 的漏洞（如 CVE-2021-26855 和 CVE-2022-41082）持續(xù)出現(xiàn)在攻擊者的劇本中，用于滲透郵箱和入侵服務(wù)器。

此外，CVE-2021-44228（Log4Shell）的再次出現(xiàn)，凸顯了消除這一普遍存在的日志庫漏洞的挑戰(zhàn)。

攻擊企圖

GreyNoise 觀察到，針對(duì)未修補(bǔ)的物聯(lián)網(wǎng)和企業(yè)系統(tǒng)中 Log4j 實(shí)例的掃描活動(dòng)再次升溫。

GreyNoise 的 24 小時(shí)活動(dòng)快照顯示，攻擊者正集中針對(duì)以下漏洞：

• CVE-2024-24919：Check Point Quantum 安全網(wǎng)關(guān)信息泄露
• CVE-2023-4966：Citrix NetScaler ADC 緩沖區(qū)溢出（Citrix Bleed）
• CVE-2022-30525：Zyxel 防火墻 OS 命令注入

這些漏洞利用通常為勒索軟件的部署鋪路，攻擊者利用初始訪問權(quán)限禁用安全工具并竊取數(shù)據(jù)。特別是 ConnectWise ScreenConnect 的漏洞（CVE-2024-1709）已被廣泛利用，攻擊者通過認(rèn)證繞過植入遠(yuǎn)程訪問木馬。

防御建議與總結(jié)

盡管及時(shí)打補(bǔ)丁至關(guān)重要，但 CVE-2023-6875 未列入 KEV 目錄的事實(shí)表明，實(shí)時(shí)威脅情報(bào)的必要性。GreyNoise 建議：

• 網(wǎng)絡(luò)分段：隔離面向互聯(lián)網(wǎng)的系統(tǒng)，如 Exchange 服務(wù)器和 VPN 網(wǎng)關(guān)。
• 行為監(jiān)控：檢測異常的進(jìn)程創(chuàng)建和可疑的認(rèn)證模式。
• 安全評(píng)估：利用 GreyNoise 數(shù)據(jù)集中的指標(biāo)（IoCs）搜尋與 23 個(gè) CVE 相關(guān)的利用痕跡。

隨著勒索軟件組織逐漸自動(dòng)化漏洞利用過程，持續(xù)監(jiān)控和基礎(chǔ)設(shè)施加固已成為現(xiàn)代網(wǎng)絡(luò)安全計(jì)劃中不可或缺的一部分。