数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
据安全内参12月25日消息,2024年,零日漏洞的数量再次显著增加。由于缺乏可用的补丁,这些漏洞使攻击者可以先于网络防御团队采取行动,成为攻陷企业系统的核心武器。
尽管所有零日漏洞都是首席信息安全官(CISO)及其团队必须了解的,也是供应商必须尽快修复的,但某些零日漏洞特别重要,因为它们揭示了攻击者试图通过哪些产品获得对企业网络和数据的访问权限。
以下总结了2024年零日漏洞利用激增的背景下,CISO及其企业安全团队应密切关注的一些重要趋势。这些趋势因其重要性、创新性或对企业资产的直接影响而意义重大。数字化转型网www.szhzxw.cn
一、远程监控和管理仍是热门目标
攻击者,尤其是为勒索软件团伙工作的初始访问经纪人,习惯性地滥用远程监控和管理(RMM)产品,不仅用于维持在企业网络中的持久性,还用于突破网络防线。数字化转型网www.szhzxw.cn
早在2021年,REvil勒索软件团伙就曾利用Kaseya VSA服务器(托管服务商经常使用的RMM平台)中的漏洞。
今年2月,攻击者又利用了ConnectWise ScreenConnect中的两个零日漏洞:路径遍历(CVE-2024-1708)和身份验证绕过(CVE-2024-1709)。数字化转型网www.szhzxw.cn
通过这些漏洞,攻击者得以访问初始设置向导并重置管理员密码。正常情况下,这种设置向导仅应运行一次,并在完成配置后受到保护。
二、托管文件传输受到攻击
勒索软件团伙频繁以企业托管文件传输软件(MFT)为目标,以获取企业网络的初始访问权限。
2024年12月,攻击者利用了Cleo LexiCom、VLTrader和Harmony这三种企业文件传输产品中的任意文件写入漏洞(CVE-2024-55956)。
该漏洞与2024年10月在Cleo同一产品中修复的另一个漏洞(CVE-2024-50623)类似。后者允许任意文件写入和读取。数字化转型网www.szhzxw.cn
尽管这些漏洞出现在相同的代码基础部分,并可通过相同端点访问,但Rapid7研究人员表示它们是独立漏洞,无需结合利用。
攻击者可以通过CVE-2024-55956将恶意文件写入应用的Autorun目录,并利用内置功能执行这些文件,从而下载其他恶意软件负载。数字化转型网www.szhzxw.cn
2023年,Cl0p勒索软件团伙曾利用MOVEit Transfer中的SQL注入零日漏洞(CVE-2023-34362)窃取了多个组织的数据。
今年,MOVEit Transfer产品中又发现了两个严重的身份验证绕过漏洞(CVE-2024-5806和CVE-2024-5805),引发了新一轮的漏洞利用潮,尤其是勒索软件团伙多次将MFT产品作为攻击目标的背景下。
2023年初,Cl0p还利用了GoAnywhere MFT中的远程代码执行零日漏洞(CVE-2023-0669),声称窃取了130家组织的数据。数字化转型网www.szhzxw.cn
更早在2020年,该团伙曾利用Accellion File Transfer Appliance中的零日漏洞(CVE-2021-27101)。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于深圳可信计算机;编辑/翻译:数字化转型网Jerry。
