数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
据安全内参12月25日消息,2024年,零日漏洞的数量再次显著增加。由于缺乏可用的补丁,这些漏洞使攻击者可以先于网络防御团队采取行动,成为攻陷企业系统的核心武器。
尽管所有零日漏洞都是首席信息安全官(CISO)及其团队必须了解的,也是供应商必须尽快修复的,但某些零日漏洞特别重要,因为它们揭示了攻击者试图通过哪些产品获得对企业网络和数据的访问权限。
以下总结了2024年零日漏洞利用激增的背景下,CISO及其企业安全团队应密切关注的一些重要趋势。这些趋势因其重要性、创新性或对企业资产的直接影响而意义重大。数字化转型网www.szhzxw.cn
一、持续集成/持续交付工具漏洞吸引攻击者
攻击者还在寻找持续集成/持续交付(CI/CD)工具中的漏洞。这些工具不仅可能成为企业网络的潜在入口(尤其是暴露在互联网上时),还可能被用来入侵软件开发管道,从而引发供应链攻击。
2020年SolarWinds Orion软件后门攻击事件,就是此类攻击的知名案例。这款软件被数以万计的私营企业和政府机构使用。数字化转型网www.szhzxw.cn
2024年1月,研究人员发现了Jenkins中的一个路径遍历漏洞(CVE-2024-23897),该漏洞可能导致代码执行。由于漏洞源于软件解析CLI命令的方式,被评为“严重”漏洞。
尽管在漏洞公开披露时,修补程序已经发布,因此不属于零日漏洞,但攻击者迅速开发了利用方法。漏洞利用工具在3月便开始被出售。数字化转型网www.szhzxw.cn
到8月,美国网络安全和基础设施安全局(CISA)已将该漏洞加入其“已知漏洞利用目录”,因为勒索软件团伙开始利用该漏洞攻破企业网络并窃取敏感数据。
今年,攻击者还利用了另一个CI/CD工具的已知漏洞(CVE-2024-27198)。这是JetBrains TeamCity(一种构建管理和持续集成服务器)中的身份验证绕过问题。该漏洞可能导致服务器完全失陷,并允许远程代码执行。这并非攻击者首次将目标对准TeamCity。2023年9月,另一个身份验证绕过漏洞(CVE-2023-42793)被发现。该漏洞很快被朝鲜国家支持的黑客利用,用于攻破Windows环境。而在2024年,这一漏洞继续成为其他攻击团伙的目标。数字化转型网www.szhzxw.cn
二、软件供应链攻击层出不穷
CI/CD工具漏洞并不是攻击者进入开发/构建环境,并破坏源代码或植入后门的唯一途径。
今年,一场持续多年的渗透行动被曝光,一名使用假身份的恶意开发者逐渐赢得了一个开源项目的信任,并被添加为XZ Utils库的维护者。该库是一种广泛使用的开源数据压缩库。数字化转型网www.szhzxw.cn
这名恶意开发者“Jia Tan”在XZ Utils代码中,逐步添加了一个与SSH交互的后门,目的是在系统上打开未经授权的远程访问通道。幸运的是,该后门在被纳入稳定版Linux发行版之前就被意外发现。这一漏洞(CVE-2024-3094)凸显了开源生态系统中供应链攻击的高风险。由于人手和资金不足,许多关键且广泛使用的开源项目在接受新开发者贡献时审查不够严格,从而埋下安全隐患。
此外,12月,攻击者利用GitHub Actions中的脚本注入漏洞,入侵并植入Ultralytics YOLO(一种开源AI库)PyPI版本的后门。数字化转型网www.szhzxw.cn
这类因不安全使用GitHub Actions CI/CD服务而引发的脚本注入漏洞在今年早些时候已被记录,且可能影响许多托管在GitHub上的项目。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于深圳可信计算机;编辑/翻译:数字化转型网Jerry。
