2023年全球十大年度安全漏洞

数字化转型步伐不断加快，给社会各行业带来诸多发展机遇，但同时也面临着日益复杂的数据安全和网络安全威胁。 首先，安全漏洞数量持续增加，已成为各领域不可忽视的问题，特别是在工业、金融、交通、国防、医药、信息技术等领域。 安全漏洞的发生和利用对社会、企业和个人造成严重影响。 带来巨大的安全风险。

根据安全公司Qualys发布的《2023网络威胁安全回顾》报告数据，2023年全球共披露了26,447个计算机漏洞，漏洞数量为25,050个，这是“有史以来最高的数字”。 去年比上年增长了5.2%。 所披露的漏洞中有 7,000 多个包含“概念验证漏洞利用代码”，黑客可以在实际攻击中轻松使用这些代码。 其中，115个漏洞已被黑客“广泛利用”。 尽管它们仅占漏洞总数的不到 1%，但它们已经极其危险。

更糟糕的是，这些攻击者的技术不断进步，不断创造出新的攻击技术，对社会重点行业发起暴力攻击，造成巨大的经济损失。 过去一年发生的数以千计的数据泄露、勒索软件攻击和其他安全事件使得利用安全漏洞成为威胁行为者最常见的攻击媒介，需要高度重视并采取有效措施，这清楚地表明需要采取适当的行动。

本文根据严重性、影响范围以及漏洞的利用方式，仔细研究了 2023 年十大最危险的漏洞。 旨在提高公众对安全漏洞的认识和警惕，帮助企业和个人更好地保护自己的信息和资产。

1. Microsoft Outlook 安全漏洞

CVE 编号：CVE​​-2023-23397

漏洞严重性（CVSS 评分） 9.8分）

入选理由：几乎无处不在的Outlook应用程序漏洞导致包括Microsoft Outlook在内的APT 28黑客攻击 攻击者窃取用户的 Net-NTLMv2 哈希，包括组这款电子邮件管理软件是微软的产品，包含日历、任务列表、联系人管理等功能。 2023 年 3 月，研究人员在 Microsoft Outlook 中发现了一个安全漏洞，CVE-2023-23397。 该漏洞可能允许攻击者发送特制的电子邮件，当 Outlook 客户端检索并处理电子邮件时，该电子邮件会自动触发，从而使受害者能够连接到攻击者。 托管服务器。 外部 UNC 位置。

这会向攻击者揭示受害者的 Net-NTLMv2 哈希值，然后攻击者可以将其转发到另一个服务以作为受害者进行身份验证。 成功利用此漏洞的攻击者可以访问用户的 Net-NTLMv2 哈希值，该哈希值可用作针对另一项用于验证用户身份的服务的 NTLM 中继攻击的基础。

Microsoft Outlook 2016、2013、Microsoft Office 2019、Microsoft 365 企业应用版和 Microsoft Office LTSC 2021 均受此漏洞影响。

自 2022 年 4 月以来，APT28 威胁组织一直在利用此漏洞，通过特制的 Outlook 笔记窃取 NTLM 哈希值，并攻击受攻击者控制的 SMB 消息，而无需用户交互。 分享以进行身份​​验证。 此外，此漏洞还可用于提升权限并允许群组在受害者环境中横向移动并更改 Outlook 邮箱权限，从而允许有针对性的电子邮件盗窃。 更糟糕的是，尽管有后续的安全更新和缓解建议，但仍然存在巨大的攻击面。

Recorded Future 在 6 月份警告称，APT28 威胁组织可能会利用 Outlook 中的漏洞攻击乌克兰的敏感组织。 10月，法国网络安全局（ANSSI）透露，俄罗斯黑客利用该漏洞攻击法国组织。 政府机构、企业、大学、研究所、智库。

官方补丁：http://www.vpsmr.com/uploads/allimg/ovhxwrdo1c0 ColdFusion 代码问题漏洞

CVE 编号：CVE​​-2023-29300

漏洞严重性（CVSS 评分 9.8）

选择原因：身份验证 远程威胁攻击者可以执行反序列化攻击，构造恶意数据包并最终在目标系统上执行任意代码。 该漏洞已被发现被广泛利用。

Adobe ColdFusion 是一种服务器端编程语言和开发平台，用于构建动态 Web 应用程序。 它由Adobe Systems 开发和维护，并使用Java 虚拟机(JVM) 作为其执行环境。 ColdFusion 支持多种编程语言，包括 ColdFusion 标记语言 (CFML)、JavaScript、Java、.NET 以及其他 Web 技术（例如 HTML、CSS 和 SQL）。

2023 年 7 月，CrowdStrike 安全研究员 Nicolas Zilio 发现了 CVE-2023-29300 安全漏洞。 受影响的版本包括 Adob​​e ColdFusion 2018 <= Update 16、Adobe ColdFusion 2021 <= Update 6 和 Adob​​e ColdFusion 2023 = GA 版本 (2023.0.0.330468)。 这是由于 Adob​​e ColdFusion 中反序列化安全检查中的安全漏洞 CVE-2023-29300 造成的。 ，未经身份验证的远程威胁攻击者可以通过制作恶意数据包来执行反序列化攻击，这最终可能导致在目标系统上执行任意代码。

数据显示，全球共有48.5万台受影响设备受到CVE-2023-29300安全漏洞的影响，其中美国超过32.5台，加拿大超过4000台，加拿大48.5万台。 德国有1.6万名黑客，不少业内知名黑客组织利用漏洞策划网络攻击。

官方补丁：https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html

3.GitLab任意文件读取漏洞

CVE编号：CVE​​-2023-2825

> p>

漏洞严重性（CVSS 得分 10 分）

选择原因：如果威胁行为者成功利用漏洞 CVE-2023-2825 漏洞会暴露敏感数据，包括专有软件代码、用户凭据、令牌和文件。 其他个人信息可能被盗。

GitLab 是一个管理 Git 存储库的平台。 主要提供免费的公共和私人存储库、问题跟踪器和维基。 不仅如此，GitLab 还提供自己的持续集成 (CI) 系统来管理您的项目。 提供 GitLab 用户界面和其他功能。 目前拥有约3000万注册用户和100万付费客户。

一位名为 pwnie 的安全研究员在 GitLab 发现了 CVE-2023-2825 安全漏洞，随后在 GitLab 的 HackOne 漏洞赏金计划中报告了该安全问题。 据报告，此漏洞影响 GitLab 社区版 (CE) 和企业版 (EE) 版本 16.0.0。

CVE-2023-2825 该漏洞是由于路径遍历问题造成的。 服务器上未经身份验证的攻击者可以轻松读取嵌套在至少五个组中的公共项目中的附件。 获取任何文件。 此外，利用 CVE-2023-2825 漏洞可能会导致敏感数据泄露，包括专有软件代码、用户凭据、令牌、文件和其他个人信息。

威胁攻击者可以读取您服务器上的任何文件，包括配置文件、密钥文件和日志文件，可能导致信息泄露和进一步的攻击。 通过长期跟踪，安全研究人员确定全球有超过40万条使用记录，其中中国有近17万条，德国有5万条，美国有5万条。

官方补丁：https://about.gitlab.com/releases/2023/05/23/ritic-security-release-gitlab-16-0-1-release/

4. Cisco IOS XE 软件安全漏洞

CVE 编号：CVE​​ -2023- 20198

漏洞严重程度（CVSS 评分 10 分）

选择理由：CVE-2023-20198 漏洞 这允许攻击者获得设备上最高级别 15 的权限，从而允许他们在受害者的系统中执行“任何操作”。

Cisco IOS XE Software是来自美国Cisco公司的操作系统。 它是适用于企业有线和无线接入、聚合、核心和 WAN 的单一操作系统。 Cisco IOS XE 降低了业务成本和网络复杂性。

研究人员在 Cisco IOS XE 软件中发现了一个高严重性安全漏洞 CVE-2023-20198。 该漏洞是由于命令权限限制不足造成的。 如果 Cisco IOS XE 软件 Web UI 暴露于 Internet 或不受信任的网络，未经身份验证的远程威胁攻击者可能会利用此漏洞获得受影响系统的 15 级访问权限，从而创建帐户。 攻击者可以使用此帐户来控制受影响的系统。 （Cisco IOS 系统上的权限级别 15 基本上意味着对所有命令的完全访问权限，包括重新加载系统和更改配置的命令。）

更糟糕的是：威胁攻击者通过了 CVE-2023-20198。 此漏洞创建的帐户是持久的，即使管理员重新启动设备，攻击者也可以继续获得受影响系统的管理员级别访问权限。 研究人员敦促企业注意 iOS XE 设备上的新用户或未知用户，将其视为攻击者可能利用此漏洞的潜在证据。 同时，思科 Talos 团队还提供了企业可以用来确定受影响设备上是否存在植入程序的命令。

CVE-2023-20198 漏洞导致许多国家的“关键公司”遭到黑客攻击根据 Censys 和 LeakX 的数据，估计超过 41,000 台运行易受攻击的 IOS XE 软件的思科设备受到利用此漏洞的攻击者的攻击。

官方补丁：http://www.vpsmr.com/uploads/allimg/cr13rjpvwo3 Confluence Server安全漏洞

CVE编号：CVE​​-2023-22515

漏洞严重程度（ CVSS评分10分）

入选理由： 威胁攻击者可以轻松利用此漏洞创建低级别管理员帐户。 它很复杂并且没有用户交互。

Atlassian Confluence Server是澳大利亚Atlassian协作软件的服务器版本，具有企业知识管理功能，支持构建企业WiKi。 2023 年 10 月，安全专家在 Atlassian Confluence Server 中发现了一个安全漏洞，CVE-2023-22515。 这会影响多个版本，包括 800–804810–814820–823830–832840–82850–8.5.1。 根据 CVSS 严重性评级系统，该漏洞的评级为 10.0。

外部威胁攻击者可以利用 CVE-2023-22515 漏洞获得对 Confluence 数据中心和 Confluence 服务器的公共访问权限。 微软威胁情报团队指出，自 2023 年 9 月 14 日起就观察到了 CVE-2023。 -22515 漏洞正在被真正的威胁行为者广泛利用。

CVE-2023-22515安全漏洞在全球范围内总共有大约50,000次使用记录，其中中国超过15,000次，美国和德国近10,000次。 更糟糕的是，攻击者可以通过利用网络连接到易受攻击的应用程序的设备并在应用程序内建立合作关系来利用 CVE-2023-22515 中的安全漏洞。影响管理员帐户。

官方补丁：https://confluence.atlassian.com/pages/viewpage.action?pageId=1295682276

6. Apache ActiveMQ远程代码执行漏洞

CVE编号：CVE​​ -2023 -46604

漏洞严重程度（CVSS 评分 10 分）

原因选择： CVE-2023-46604 中的漏洞允许攻击者利用 OpenWire 协议的序列化类类型执行任意 shell 命令。 研究人员发现该漏洞被 Kinsing 恶意软件和加密货币矿工利用。 第二个漏洞 Kinsing 也使用它来下载和安装恶意软件。

Apache ActiveMQ 是最流行的基于 Java 的开源多协议消息代理。 支持行业标准协议，用户可以从多种语言和平台的客户端选择中受益，包括用 JavaScript、C、C++、Python、.Net 等编写的客户端连接，使用无处不在的 AMQ P 协议可以集成。与许多平台。 使用 STOMP over WebSockets 在 Web 应用程序之间交换消息的应用程序。

2023年10月，Apache ActiveMQ发布的新版本修复了远程代码执行漏洞CVE-2023-46604。 该漏洞是由于 BaseDataStreamMarshaller 方法中缺乏所需的传入数据检查造成的。 攻击者可以通过默认端口 61616 制作恶意数据包来利用此漏洞，最终导致在服务器上远程执行代码。

受影响的 Apache Active MQ 和旧版 OpenWire 模块应用程序版本为 5.18.0<=Apache ActiveMQ<5.18.3、5.17.0<=Apache ActiveMQ&1。t;5.17.6、5.16.0<=Apache ActiveMQ<5.16.7、5.15.0<=Apache ActiveMQ<5.15.15。

据报道，Kinsing 恶意软件和 HelloKitty 勒索软件背后的黑客组织正在积极利用 CVE-2023-46604 漏洞。 威胁行为者利用安全漏洞对 Linux 系统发起攻击，并推送对 TellYouThePass 勒索软件的初始访问。 中国、美国、德国、印度、荷兰、俄罗斯、法国和韩国是攻击者的主要目标。

官方补丁：https://activemq.apache.org/security-advisories.data/CVE-2023-46604- payment.txt

7. Citrix NetScaler ADC会话劫持和网关漏洞

CVE 编号：CVE​​-2023-4966

漏洞严重性（CVSS 评分 9.4） 点）

入选理由：多家知名巨头DP World、Allen & Overy、波音等公司均受到CVE-2023-4966安全漏洞的影响。 Lockbit 等臭名昭著的勒索软件会积极利用该漏洞。

Citrix NetScaler ADC（应用程序交付控制器）是一种先进的负载平衡器和网络性能优化解决方案。 2023 年 10 月 10 日，安全研究人员发现并披露了 Citrix Bleed CVE-2023-4966 漏洞。

据报告，CVE-2023-4966 漏洞影响 NetScaler ADC 和 NetScaler Gateway 14.1-8.50 以及 14.1 版本之前的 NetScaler ADC 和 NetScaler Gateway 13。13.1-49.15 之前的 .1 版本、13.0-92.19 之前的 NetScaler ADC 和 NetScaler Gateway 13.0 版本、13.1-37.164 之前的 NetScaler ADC 13.1-FIPS 版本、12 之前的 NetScaler ADC 12.1-FIPS 版本以及许多其他版本的 Citrix NetScaler 和 NetScaler 网关产品。

2023年8月下旬，网络安全研究人员继续发现CVE-2023-4966漏洞正在被利用。 在攻击事件中成功利用 CVE-2023-4966 表明该漏洞导致 NetScaler ADC 劫持网关设备上的合法用户会话，绕过密码和多重身份验证。 威胁参与者使用特制的 HTTP GET 请求来强制将系统内存的内容（包括在身份验证和 MFA 检查后发出的有效 Netscaler AAA 会话 cookie）返回到目标设备。 网络攻击者窃取这些身份验证cookie后，无需再次进行MFA验证。 可以访问设备。

更糟糕的是，CVE-2023-4966 漏洞已成为业界臭名昭著的 LockBit 勒索软件的目标。 研究人员发现，LockBit 勒索软件组织正在利用此漏洞发起网络攻击并跨境窃取 cookie。 和其他敏感信息来绕过身份验证、获取系统权限以及嵌入勒索软件以执行勒索软件攻击。

官方补丁：https://support.citrix.com/article/CTX579459

8. MoveIT SQL注入漏洞

CVE编号：CVE​​-2023-34362

漏洞严重性（CVSS 评分 10）

入选理由：1,500 个，包括美国、中国和德国 超过 10,000 台设备可能受到影响。 漏洞。

MoveIT 是 MoveIT 公司的机器人手臂运动操作尖端软件。 2023年5月下旬，该公司产品Progress MOVEit Transfer被曝存在SQL注入漏洞CVE-2023-34362。 受影响的产品和版本：Progress MOVEit Transfer 2021.0.6 (13.0.6) 及之前版本、2021.1.4 (13.1.4) 版本、2022.0.4 (14.0.4) 版本、2022.1.5 (14.1.5) 版本，2023.0.1（15.0.1）版本。

安全漏洞 CVE-2023-34362 允许未经身份验证的远程威胁攻击者访问数据库。 根据所使用的数据库引擎（MySQL、Microsoft SQL Server 或 Azure SQL），攻击者可以利用此漏洞推断有关数据库的结构和内容的信息，或者编写修改或删除数据库的 SQL 语句。可以执行它。 通过手动将字符串发送到您自己的 MOVEit Transfer 事务类型来提取数据库元素。

CVE-2023-34362 安全漏洞被世界各地的各种威胁行为者广泛利用。 这是通过资产映射系统zoomeye平台发现的。 目前全球公共网络上共发布了 1,536,5823 条 Progress 产品的使用记录，其中美国有 4,306,551 条。 中国1,596,918人，德国1,072,761人。

官方补丁：https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023

9. Apple 处理器集群后门

CVE 编号： CVE-2023-32434、CVE-2023-32435、CVE-2023-38606、CVE-2023-41990

选择利用：威胁参与者利用漏洞链针对俄罗斯的 iPhone 用户发起了长时间攻击4年监视。 历史上最复杂的间谍软件攻击之一。

2023 年末，卡巴斯基安全研究员鲍里斯·拉林 (Boris Larin) 发布了“三角测量”的详细信息，这可能是历史上针对 iPhone 的最复杂、最广泛的间谍软件攻击之一。 （行业观察人士认为，自 2019 年以来，三角测量攻击一直被用来监视 iPhone 用户。

卡巴斯基的三角测量跟踪表明，俄罗斯政府的后门活动于 2023 年 6 月首次曝光，当时攻击者使用了三角测量攻击访问众多俄罗斯外交使团和数千名大使馆员工的 iPhone。 卡巴斯基实验室研究人员随后展开详细调查，发现攻击者在三角测量攻击中使用了多达四个零日漏洞，详细信息如下：

CVE-2023 -32434，CVSS 评分：7.8 分，整数溢出漏洞。 在内核中，恶意应用程序可以利用此漏洞以内核权限执行任意代码。CVE-2023-32435，CVSS 评分：8.8 分，Webkit 内存损坏漏洞 CVE-2023-38606，CVSS 评分：5.5 分，Apple。 内核安全功能绕过漏洞。攻击者可以通过恶意应用程序利用此漏洞来更改敏感内核的状态，从而控制设备。CVSS 评分：7.8 分。字体文件。

这些漏洞结合起来形成了一系列零点击漏洞，允许攻击者升级权限、执行远程代码执行命令或访问设备。四年来，威胁行为者持续通过以下方式攻击 iPhone。从攻击者的服务器以及 iOS 16.2 之前的所有 iOS 版本下载其他恶意软件。这还包括 Mac、iPod、iPad、Apple TV 和 Apple Watch。

10. TETRA 漏洞集群后门

CVE编号：CVE​​-2022-24401、CVE-2022-24402、CVE-2022-24404、CVE-2022-24403和CVE-2022-24400

p>

选择理由： 关键基础设施中商业使用的无线电加密算法中存在后门。 这些主要用于在管道、铁路、电网、公共交通和货运列车上传输加密数据和命令，并影响几乎所有使用 TETRA 协议的国家。

三名荷兰安全研究人员发现了名为 TETRA（地面集群无线电）的欧洲无线标准中的五个漏洞。 威胁攻击者可以轻松利用此漏洞破坏军警或关键基础设施的无线通信。 这是20年来首次TETRA标准安全调查。

TETRA是欧洲电信标准协会（ETSI）于1995年制定的无线通信标准。 它在全球100多个国家广泛使用，并且在美国以外最受欢迎。 警察无线电通讯系统。 TETRA基于多种密码算法，涵盖TETRA身份认证算法TAA1和TETRA密码算法组件TEA1到TEA4。 其中，TEA1和TEA4可用于商业用途，而TEA2和TEA3仅用于紧急服务。

TETRA发现了五个安全漏洞：CVE-2022-24401、CVE-2022-24402、CVE-2022-24404、CVE-2022-24403和CVE-2022-24400。 前两个是严重漏洞。 CVE-2022-24401 该漏洞由空中接口加密 (AIE) 系统引起，该系统用于生成无线通信的空中接口加密密钥。依赖的网络时间被公开广播，这可能会导致解密预言机攻击。 CVE-2022-24402漏洞涉及TEA1算法，允许将原始80位密钥缩短到可以在几分钟内暴力破解的长度。

TETRA 漏洞危害极大，研究人员认为使用无线技术的组织应该了解他们部署的设备是否以及如何使用 TETRA 标准。我们重申需要立即与制造商核实可用性。 补救或缓解措施。