2023年最严重的10次0Day漏洞攻击（2020年漏洞数量）

根据谷歌威胁分析团队去年7月发布的报告，2022年全球共有41个零日漏洞被利用和披露。 研究人员普遍认为，2023年被利用的零日漏洞数量将高于2022年。 这些危险的漏洞广泛用于各种情况，包括商业间谍、网络攻击和数据勒索攻击。 本文收集整理了2023年最具破坏性的10起0Day攻击。

1.Fortra GoAnywhere

CVE-2023-0669 漏洞（CNNVD）编号：CNNVD-202302-398）是2023年第一个导致大规模勒索软件攻击的MFT零日漏洞。 Fortra A GoAnywhere 托管文件传输 (MFT) 产品中存在预身份验证命令注入漏洞。 网络安全记者 Brian Krebs 于 2 月 2 日首次报道了该漏洞。 Fortra 前一天还向经过验证的客户发布了有关 CVE-2023-0669 漏洞的安全公告。

尽管该漏洞已于 2 月 7 日修复，但数据安全供应商 Rubrik 尚未披露与 GoAnywhere 漏洞相关的任何泄露情况以及该漏洞的利用方式。 3月14日，细节被完全披露。 同一天，Cloq 勒索软件集体在其数据泄露网站上列出了 100 多个与零日漏洞相关的企业组织，包括 Rubrik、宝洁、日立能源和社区健康系统。

2. Barracuda 电子邮件安全网关

2023 年 5 月 23 日，Barracuda Networks 宣布了电子邮件安全网关（ESG）设备的 CVE。天漏洞编号为-2023-2868已被发现（CNNVD编号：CNNVD-202305）。 -2128）。 该公司表示，它于 5 月 19 日发现了该漏洞，并于第二天向所有设备发布了补丁。 最初的通报包括有关该漏洞的详细信息，但有关该缺陷和相关信息的信息很少。有关此次袭击的更多信息在接下来的一周出现。

进一步调查发现，该远程命令注入漏洞早在2022年10月就已被利用。 攻击者使用三种类型的恶意软件来访问某些 ESG 设备。 持久的后门访问可从客户网络系统窃取数据。 为了修复此漏洞，梭子鱼免费为客户更换了受感染的设备。

2023 年 6 月 15 日，Mandiant 报告称，这些攻击是由网络间谍组织 UNC4841 发起的。 威胁行为者修改了恶意软件，以防止有效修补并保持对受感染设备的持续访问。 FBI 在 8 月份警告称，黑客继续利用该漏洞。

3. Progress Software MoveIt Transfer

2023 年 5 月 31 日，Progress Software 宣布 MoveIt Transfer 软件 CVE-2023-34362（CNNVD 编号： CNNVD -202306-110) SQL注入漏洞被披露并修复。 第二天，Rapid7 报告了利用零日漏洞的活动，但几天后情况开始恶化。

2023 年 6 月 4 日，微软威胁情报中心将 MoveIt Transfer 漏洞归因于与 Clop 勒索软件组织相关的 Race Tempest 攻击者。 Mandiant 还观察到此漏洞被广泛利用，攻击者渗透 MoveIt Transfer 实例并窃取客户数据。 受害者包括美国州和联邦政府机构、英国航空公司、Extreme Networks 和西门子能源公司。

与针对 Fortra GoAnywhere 客户的攻击类似，攻击者主要针对 CVE-2023-34362 漏洞，重点窃取数据并造成损害，但并未将勒索软件部署到用户环境中。 目前尚不清楚有多少受害者支付了赎金，但攻击的范围令人震惊。 2023 年 9 月，Emsisoft 估计 Clop 的数据盗窃和勒索软件活动影响了全球 2,095 个组织。以及超过 6200 万人。

4.VMwareTools

2023 年 6 月 13 日，VMware 披露了一个影响我的 ESXi 虚拟机管理程序实例的低严重性漏洞。 此身份验证绕过漏洞被跟踪为 CVE-2023-20867（CNNVD 编号：CNNVD-202306-968），允许受感染 ESXi 主机上的攻击者绕过 VMware Tools 主机到来宾操作中的身份验证检查机制。通过。 这最终会使您的虚拟机面临风险。

CVE-2023-20867 的 CVSS v3 分数仅为 3.9 分，因为攻击者需要获得 ESXi 虚拟机管理程序的 root 访问权限，但是 Mandiant 澄清说： 名为 UNC3886 的间谍威胁组织利用了 VMware Tools 中的漏洞。 该组织于 2022 年使用恶意软件系列攻击 ESXi 主机。

在最近的攻击中，网络间谍组织针对美国和亚洲的国防、技术和通信组织。 -太平洋地区。 Mandiant 表示，这些攻击者非常复杂，他们利用 VMware 中的零日漏洞从 ESXi 主机上的客户虚拟机执行特权命令，同时部署持久后门。 这些攻击表明，一些 CVSS 分数较低的漏洞也可能被威胁行为者利用造成重大损害。

5. Microsoft Windows 和 Office

2023 年 Microsoft 产品中披露的最严重的漏洞之一是远程代码执行 (RCE)，CVE-2023。 -36884（CNNVD 编号：CNNVD-202307-797）。 ) Windows 搜索工具漏洞。 该漏洞首次在微软的 7 月补丁星期二中披露，主要影响 Windows 和 Office 软件。

与其他微软漏洞相比，CVE-2023-36884漏洞有两个主要特点。 一是RCE漏洞披露时并不存在补丁，仅由微软提供。 提供了缓解措施。 为了防止进一步利用，该漏洞直到八月份的补丁星期二才得到修复。 第二，东欧的网络犯罪组织在面向间谍的网络钓鱼活动和以利润为目的的勒索软件攻击中使用 CVE-2023-36884。 微软报告称，该组织的目标是北美和欧洲的国防组织和政府机构。 攻击者利用 CVE-2023-36884 绕过 Microsoft 的 MotW 安全功能，该功能通常会阻止恶意链接和附件。

6. WebP / Libwebp

2023 年 9 月 11 日，Google 宣布其图像格式 WebP 存在严重堆缓冲区溢出漏洞。 紧急补丁已发布。 该零日漏洞被追踪为CVE-2023-4863（CNNVD编号：CNNVD-202309-784），允许远程攻击者通过恶意WebP图像执行越界内存写入。

该漏洞不仅影响Google Chrome浏览器，还影响所有支持WebP格式的浏览器。 因此，微软、苹果、Mozilla等公司也纷纷发布其浏览器服务器的版本更新。 进一步的细节显示，虽然谷歌最初声称该问题是 WebP 中的缺陷，但安全研究人员指出，该问题实际上存在于开源 Libwebp 库中。

让事情变得更加复杂的是，一些网络安全公司（例如 Cloudflare）已确认 CVE-2023-4863 是 Apple ImageI/O 框架的不同部分，我认为它是。与 0day 堆缓冲区相关。 该溢出漏洞已于 9 月 7 日发布并修补，编号为 CVE-2023-41064。 研究人员发现，商业间谍软件供应商 NSOGroup 在零点击攻击中利用了此漏洞。

77。苹果 iOS 和 iPadOS

苹果还在 2023 年披露了零日漏洞。 9 月 21 日发布的 iOS 和 iPadOS 中的三个漏洞尤其引人注目。 这些漏洞包括CVE-2023-41992（操作系统内核特权提升漏洞，CNNVD编号CNNVD-202309-2064）、CVE-2023-41991（允许攻击者绕过签名验证的安全漏洞）在内。Hall，CNNVD 编号为 CNNVD-202309-2065）和 CVE-2023-41993（Apple WebKit 浏览器引擎中可能导致任意代码执行的漏洞，CNNVD 编号为 CNNVD-202309-2063）。 该漏洞被用于滴管监控供应商 Cytrox 的间谍软件产品 Predator 的一系列攻击中。 2023 年 5 月至 9 月，前埃及议员 Ahmed Eltantawy 成为 Predator 间谍软件的攻击目标。 研究人员调查了他的手机活动，发现手机感染了 Predator 间谍软件。

8.AtlassianConfluence

10 月 4 日，Atlassian 已披露并修补了其 Confluence 数据中心和服务器产品中的零日漏洞。 该漏洞编号为 CVE-2023-22515（CNNVD 编号：CNNVD-202310-278），最初是一个权限提升漏洞，影响 Confluence 工作区套件的自托管版本。 Atlassian表示这是一个非常严重的漏洞，并给该零日漏洞的CVSS评分为10分。

目前尚不清楚有多少 Atlassian 客户受到此漏洞的影响，或者他们受到什么影响。 攻击者针对的组织类型。 Atlassian 强烈建议所有客户立即更新其 Confluence 实例，或将高风险版本与公共互联网隔离，直到它们得到正确修补。

9. Citrix NetScaler ADC 和 NetScaler Gateway

2023 年 10 月 10 日，Citrix 发布了多个版本的 NetScaler Security for ADC 和 NetScaler Gateway 修复了两个版本。影响漏洞的问题。 其中之一是敏感信息泄露漏洞，且已编号。 CVE-2023-4966（CNNVD 编号：CNNVD-202310-666）被网络安全专家认为是 Citrix Bleed 中最严重的漏洞之一。

>

Mandiant 的研究显示，自 8 月份以来就观察到与 CitrixBleed 相关的攻击，主要针对政府和技术组织。 威胁参与者可以劫持高风险设备上的身份验证会话，从而允许他们绕过 MFA 和其他身份验证检查。 更令人担忧的是，即使 CVE-2023-4966 已修复，这些被劫持的会话仍可能被威胁行为者利用，因此除了安装补丁之外，建议客户采取额外的缓解措施。

11 月份零日漏洞利用活动仍在继续。 CISA 和 FBI 在联合报告中发布了有关 LockBit 攻击的安全警报，我们预计该漏洞将被广泛利用。

10. Cisco IOS XE

2023年10月16日，思科发布了一个严重的零日漏洞CVE-2023-20198。 此零日漏洞影响启用了 Web 用户界面功能的所有 iOS XE 版本。 远程攻击者可以利用此漏洞获得对运行该软件的设备的完全访问权限。 由于发布时补丁尚未发布，思科建议客户立即禁用所有高风险系统上的 HTTP 服务器功能。

据研究人员称，攻击者从9月18日开始利用该漏洞，导致来自同一组织的不明攻击者进行了一系列攻击。 攻击者利用此漏洞将名为 BadCandy 的嵌入式软件部署到受感染的设备上。 10 月 22 日，思科发布了 CVE-2023-20198 的安全补丁和第二个相关漏洞 CVE-2023-20273。 由于此漏洞被广泛利用，思科强烈鼓励所有客户立即部署补丁并采取任何建议的缓解措施。

参考链接：https://www.techtarget.com/searchsecurity/feature/10-of-the-biggest-zero-day- 2023 年的攻击