2024 年第一季度漏洞和漏洞利用趋势分析

在本报告中，卡巴斯基提供了一系列具有洞察力的统计和分析快照，涉及新漏洞和漏洞利用的趋势，以及攻击者最常使用的漏洞。此外，本报告还研究了 2024 年第一季度发现的几个值得注意的漏洞。

已登记漏洞统计

为了更好地管理漏洞，供应商可以注册这些漏洞并分配 CVE 标识符。所有标识符和相关公共信息均发布在 https://cve.mitre.org（在本文撰写时，该网站正在迁移到新域 https://www.cve.org/）。

尽管供应商有时无法注册所有漏洞，并且 CVE 列表也不能被视为详尽无遗，但它确实使我们能够跟踪某些趋势。接下来，本文分析了已注册软件漏洞的数据，并比较了过去五年的数量。

如图所示，新漏洞的数量逐年稳步增加，可以归因于几个因素。

首先，漏洞赏金平台和漏洞发现竞赛的日益普及为该领域的研究提供了重要推动力。因此，漏洞发现量一直在增加。这也导致更多供应商注册发现的漏洞，从而使 CVE 数量不断增加。

其次，开发流行软件、操作系统和编程语言的公司正在实施更多的安全解决方案和新程序，以提高软件漏洞监控的性能。一方面，这导致漏洞被更频繁地发现；另一方面，也使整个类别的漏洞变得更为普遍。因此，威胁分子和安全研究人员都在积极寻找新型漏洞并创建自动化服务，以实现更有效的检测。

最后，随着现有应用程序的更新和变得更加复杂，新的应用程序也会随着时间的推移而出现，从而产生新的漏洞。随着技术的快速发展，漏洞数量可能会逐年持续增长。

值得注意的是，不同的漏洞会带来不同程度的安全威胁，我们使用已注册 CVE 列表中的数据和内部再现性测试的结果来计算关键漏洞的比例。

如图所示，严重漏洞数量的增长是间歇性的。在 2021 年和 2022 年，关键漏洞在总数中所占的比例相当，但在 2019 年至 2021 年以及 2022 年至 2023 年期间有所增加。

2023 年，在软件中发现的关键漏洞数量创下了纪录。2024 年第一季度，严重漏洞占已注册漏洞总数的百分比仍然很高。这再次强调了正确的补丁管理的重要性，以及对能够防止漏洞利用的安全解决方案的需求。

漏洞利用统计

本节介绍了从公共来源（例如注册的 CVE）和内部遥测数据收集的漏洞统计信息。

漏洞利用是一种含有数据或可执行代码的程序，它利用本地或远程计算机上一个或多个软件漏洞来达到恶意目的。允许攻击者控制目标用户系统的软件漏洞对开发人员来说具有最高的利用价值。

威胁分子可以创造漏洞，然后在地下论坛上出售其作品或将其用于自己的目的。此外，爱好者，包括各种错误赏金计划的参与者，也会开发漏洞以领先于对手并制定对策。

针对零日和一日漏洞的暗网购买广告

Windows 和 Linux 漏洞利用

下图显示了 2023 年和 2024 年第一季度受卡巴斯基产品保护的 Linux 和 Windows 用户遇到漏洞利用的数量趋势，统计数据基于卡巴斯基安全网络的数据。

如图表所示，2023 年遭受漏洞利用的 Windows 用户数量大致保持不变，而受影响的 Linux 用户数量则稳步增加。

值得注意的是，这两种情况并不一定涉及相同的漏洞。一些漏洞很快就会过时，促使威胁分子将注意力转向新的漏洞。我们以 WinRAR 中的 CVE-2023-28831 漏洞为例来说明某些漏洞流行度的变化。

该图表显示，该漏洞在 2023 年 9 月注册后几乎立即就非常流行，但随着用户安装补丁，相关性逐渐下降。这进一步证明，只要安装修复程序的用户数量相对较少，威胁分子往往会对漏洞感兴趣。

公共利用统计

漏洞利用的可用性，尤其是在 GitHub 等公共平台上可访问时，是评估漏洞严重性的关键标准。我们分析了已注册漏洞的公开利用数据。

统计数据显示，漏洞利用总数有所增加，包括可供使用的和原始的 PoC。后者可能不稳定，但它们展示了利用该漏洞的可能性，并具有未来改进的潜力。值得注意的是，威胁分子寻求新的漏洞利用和对现有漏洞的修改，例如优化与多个操作系统的兼容性、集成新的数据处理方法以及增强稳定性。

暗网广告寻求利用 WinRAR 中的 CVE-2023-40477 漏洞

暗网广告寻求帮助为旧版 Windows 配置 CVE-2023-28252 漏洞

最常见的漏洞利用

我们持续监控针对各种漏洞发布的漏洞利用情况，特别关注关键漏洞。对这些漏洞的分析使我们能够挑选出威胁分子特别感兴趣的几类软件：

·浏览器

·操作系统（Windows、Linux、macOS）

·Microsoft Exchange 服务器和服务器组件

·Microsoft SharePoint 服务器和服务器组件

·微软 Office 套件

·不属于上述五个类别的所有其他应用程序

让我们看看哪些软件类别在 2023 年和 2024 年第一季度存在最严重的漏洞并可利用。

数据表明，受有效利用的严重漏洞影响最大的软件类别是：

·操作系统

·浏览器

然而，在 2024 年第一季度，我们还观察到大量针对 Exchange 服务器的攻击。此外，很大一部分漏洞属于“其他软件”类别。这是由于用户可能在其系统上安装了各种应用程序来处理业务任务。

APT 攻击中的漏洞利用

利用软件漏洞是几乎所有针对企业基础设施的 APT 攻击的一个组成部分。我们分析了 2023 年和 2024 年第一季度 APT 攻击中使用的漏洞利用数据，以确定哪些软件最常被攻击者利用。以下是 APT 组织在 2023 年和 2024 年第一季度利用最多的漏洞。

上述统计数据表明，目前恶意行为者的流行入口点是：

·易受攻击的远程访问服务，如 Ivanti 或 ScreenConnect

·易受攻击的访问控制功能，例如 Windows SmartScreen

·易受攻击的办公应用程序。值得注意的是，Microsoft Office 套件的漏洞长期位居最常被利用的列表之首，但在 2023 年被 WinRAR 漏洞取代。

因此，我们可以得出结论，APT 组织主要是在获得对基础设施的初始访问权限时利用漏洞。在大多数情况下，这涉及突破边界（例如，通过利用 VPN 和 Web 应用程序等易受攻击的面向互联网的服务）或利用与社会工程相结合的办公应用程序（例如，通过电子邮件将受感染的文档或档案发送给公司员工）。

2024 年第一季度值得注意的漏洞

接下来介绍 2024 年第一季度注册的最值得注意的一些漏洞。

·CVE-2024-3094 (XZ)

3 月下旬，XZ 数据压缩实用程序包中发现了一个后门。攻击者将恶意代码插入到负责处理存档数据的库的源代码中。该代码通过修改后的构建过程最终出现在编译库中。

加载此类库后，恶意代码将开始修改内存中的函数，这些函数由某些发行版导出以用于 SSH 服务器操作，从而使攻击者能够向受感染的服务器发送命令。

该后门的功能值得注意，因为攻击者设法将恶意算法注入流行的库中，这是开源软件历史上很少完成的壮举。该攻击还因其复杂性和多阶段感染过程而引人注目。除了恶意代码的作者之外，没有人可以利用该后门。

·CVE-2024-20656（Visual Studio）

Visual Studio 中的此漏洞可让恶意攻击者提升其在系统中的权限。攻击者可以利用它在 Windows 上执行 DACL 重置攻击。DACL（自由访问控制列表）是定义用户对对象执行特定操作所必须的访问级别的访问控制列表。重置 DACL 会消除访问系统文件或目录的所有限制，因此任何用户都可以对这些文件或目录执行任何他们想要的操作。该漏洞因其利用算法而变得非常值得关注。

我们分析的漏洞利用源代码利用了一种通过符号链接链将 Visual Studio 应用程序调试服务从一个目录重定向到另一个目录的方法：DummyDir => Global\\GLOBALROOT\\RPC Control => TargetDir。

在这里，DummyDir 是攻击者创建的可公开访问的目录，TargetDir 是他们想要访问的目录。当应用程序调试服务从 DummyDir 重定向到 TargetDir 时，后者继承与 DummyDir 相同的访问设置。

这种利用符号链接对受保护文件执行选择性操作的方法很难防止，因为并非系统中的所有文件都可以被写保护。这意味着它将来可能会被用来利用其他漏洞。如果目标操作系统服务使用的文件或依赖项被识别并且其修改限制被删除，则用户可以在漏洞利用运行后简单地覆盖该文件或依赖项。下次启动时，攻击者注入的代码将在受感染的服务中执行，继承与服务本身相同的访问级别。

目前，尚未发现在现实生活中利用此漏洞进行攻击的任何案例。然而，它与CVE-2023-36874具有相同的利用原语，威胁分子甚至在发现它之前就开始利用它。

·CVE-2024-21626 (runc)

操作系统级虚拟化或容器化如今广泛用于应用程序扩展和构建容错系统。因此，管理容器的系统中的漏洞至关重要。

该漏洞的存在归因于 Linux 内核中 fork 系统调用的某些行为。该系统调用的特征是它启动子进程的方法，该子进程是从父进程复制的。

此功能允许快速应用程序启动，但也带来了一些额外风险。进程克隆意味着来自父进程的某些数据可以从子进程访问。根据 CWE 类别系统，如果应用程序代码无法监控此类数据，则可能会导致数据泄露漏洞 CWE-403 – 将文件描述符暴露给意外的控制范围。

CVE-2024-21626 就是一个很好的例子。Docker 工具包使用 runc 工具来创建和运行容器；因此，正在运行的容器充当相对于 runc 的子进程。如果尝试从该容器访问 /proc/self 目录，则可以获得 runc 进程打开的所有文件的描述符。Linux 中可访问资源和描述符的导航遵循文件系统规则。因此，攻击者很快开始使用父进程可访问的解释器的相对路径来逃离容器。

您可以通过监视正在运行的容器内的活动来检测此漏洞的利用。在利用过程中观察到的主要模式涉及容器尝试使用以下路径访问文件系统：

/proc/self/cwd/../

·CVE-2024-1708（ScreenConnect）

ConnectWise ScreenConnect 是一种远程桌面访问工具。它包括在用户系统上运行的客户端应用程序和用于客户端管理的服务器。服务器托管一个包含相关漏洞的 Web 应用程序。

访问控制被认为是 Web 应用程序中最关键的机制。仅当 Web 应用程序中的每个用户可访问的函数和参数在用于应用程序的算法之前都经过监视和验证时，它才起作用。ScreenConnect 中的请求监视和控制被证明是不够的。攻击者只需将“/”字符附加到原始请求 URL 即可强制系统重置其设置，如下所示：http://vuln.server/SetupWizard.aspx。因此，攻击者可以使用管理员权限访问系统并利用服务器进行恶意目的。

该漏洞正被威胁分子积极利用。因此，我们建议 ScreenConnect 用户应用开发人员发布的补丁并配置防火墙规则来限制对服务器 Web 界面的访问。

·CVE-2024-21412（Windows Defender）

大多数针对用户系统的攻击的主要目标是执行恶意命令。攻击者旨在通过各种方法完成此任务，但最流行和最可靠的方法是启动恶意文件。为了最大限度地降低未经授权的应用程序启动的风险，Windows 采用了一种称为 SmartScreen 筛选器的机制。SmartScreen 检查用户访问的网站以及从 Internet 下载的文件。当检查开始时，用户会看到锁定屏幕。

这样的通知可以提示用户重新考虑他们是否真的想要启动该应用程序。因此，威胁分子正在积极寻找绕过此过滤器的方法。CVE-2024-21412 代表了一种此类方法。

欺骗安全机制依赖于一个简单的原理：如果 SmartScreen 检查从互联网下载的文件，只需欺骗过滤器相信该文件在启动时已经在系统中。

这可以通过与网络存储中存储的文件交互来实现。在所讨论的漏洞中，存储驻留在 WebDAV 服务器上。WebDAV 协议允许多个用户同时编辑服务器上存储的文件，Windows 提供自动访问此类存储的功能。攻击者剩下的就是以适当的方式将服务器呈现给系统。为此，他们使用以下文件 URL：

URL=file://ip_address@port/webdav/TEST.URL

·CVE-2024-27198（TeamCity）

TeamCity 持续集成工具的 Web 界面中的此漏洞允许访问应仅限于经过身份验证的用户的功能。您可以通过分析 TeamCity 在其工作目录中生成的标准日志来检测漏洞利用。恶意模式如下：

如上所示，对空白名称文件的不当处理会授予未经授权的攻击者访问服务器 API 的权限。

威胁分子利用此漏洞作为获得对目标系统的初始访问权限的一种方式，为了更有效地监控漏洞，我们建议审核有权访问 Web 界面的帐户。

·CVE-2023-38831 (WinRAR)

此漏洞是在 2023 年发现的，但它在 2023 年末和 2024 年第一季度中仍十分受威胁分子欢迎。

它的工作原理是：当尝试使用 WinRAR GUI 打开存档内的文件时，应用程序还会打开同名文件夹的内容（如果存档中存在此类文件夹）。

自从攻击者开始利用该漏洞以来，他们已经提出了几种类型的漏洞利用，这些漏洞可以采用以下两种格式之一：

·ZIP 档案；

·RAR 档案。

恶意软件和现有档案的变化使得无法明确确定档案是否是漏洞利用。但是，我们可以识别漏洞利用的关键特征：

存档包含名称与子目录的名称匹配的文件。

至少有一个文件名在扩展名前包含空格。

存档必须包含位于子目录内的可执行文件。

以下是在十六进制编辑器中查看此类文件的示例。对于 ZIP 存档，数据如下所示：

对于 RAR 文件，如下所示：

攻击者已经学会通过使用密码保护存档来隐藏漏洞利用工件。在这种情况下，文件路径可能会被加密，因此检测漏洞的唯一方法是通过行为分析。

结论和建议

注册漏洞的数量逐年持续增加，同时公共漏洞利用的可用性也在增加。漏洞利用是针对性攻击的重要组成部分，威胁分子通常会在注册和利用漏洞发布后的最初几周内广泛利用漏洞。为了确保安全，人们必须迅速应对不断变化的威胁形势。另外，请确保您：

·全面了解您的基础设施及其资产，了解您的基础设施是建立任何安全流程的基本因素。

·实施强大的补丁管理系统，以及时识别基础设施中易受攻击的软件并部署安全补丁。

·使用全面的安全解决方案，使您能够构建灵活高效的安全系统。

参考及来源：https://securelist.com/vulnerability-report-q1-2024/112554/