二月份,Positive Technologies 的专家又将 8 个漏洞列为趋势性漏洞。这些是在网络攻击中利用过的漏洞,以及预计即将被利用的漏洞。在这些趋势性漏洞中,专家们发现了 Fortinet、Microsoft 和 Ivanti 产品中存在的漏洞。
趋势性漏洞是最危险的漏洞,需要迅速将其解决,或采取补偿措施。为识别趋势性漏洞,Positive Technologies 的专家从各种渠道(漏洞数据库、供应商安全公告、社交网络、博客、Telegram 频道、漏洞利用数据库、公共代码库等)收集和更新信息。下一代漏洞管理系统 MaxPatrol VM 有助于识别此类漏洞。在 12 个小时内就能将专业知识输入该产品。专家们收集了在上个月被频繁利用的漏洞并选出了最热门的漏洞。
FortiOS 和 FortiProxy 中的远程代码执行漏洞
CVE-2024-21762 (CVSS[1] - 9.8)
根据 Shadowserver 的数据,FortiOS SSL VPN 上的设备数量超过 465,000 台。在俄罗斯,有 2,816 个节点检测到了该软件。
未经身份验证的攻击者可以利用该漏洞通过发送特制的 HTTP 请求执行任意代码。 根据供应商的数据,该漏洞已被用于黑客攻击。此前,Fortinet 称攻击者利用 FortiOS 中的类似漏洞植入了 COATHANGER 远程访问木马。
根据 Fortinet 的建议,需要更新软件才能修复该漏洞。如果无法立即更新软件,可以暂时禁用 FortiOS 设备上的 SSL VPN 以降低风险。
Windows SmartScreen 安全功能绕过漏洞
CVE-2024-21351 (CVSS - 7.6)
根据 The Verge 的数据,该漏洞会对 Windows 10 和 11 版本的用户造成影响。攻击者可以利用该漏洞绕过 Windows Defender SmartScreen 检查。该漏洞用于向系统发送恶意软件:攻击者需要向目标发送恶意文件,并说服其打开文件内容。
网页快捷方式文件(Internet Shortcut 文件)安全功能绕过漏洞
CVE-2024-21412 (CVSS - 8.1)
利用该漏洞可以向目标系统发送恶意软件。Microsoft Defender 不会在用户打开来源不受信任的文件时发出警告(MoTW 功能不起作用)。用户还可能会感到困惑的是,资源管理器被传送到下载 (Downloads) 文件夹中,而实际上该文件夹位于第三方资源上。
Microsoft Outlook 中的漏洞可能允许远程执行代码
CVE-2024-21413 (CVSS - 9.8)
远程攻击者可以利用该漏洞绕过 Microsoft Outlook 的内置安全检查 (Protected View)。受害者以编辑模式打开恶意文档,这将导致系统开始远程执行代码。
Microsoft Exchange 服务器漏洞导致未经授权的权限升级
CVE-2024-21410 (CVSS - 9.8)
该漏洞允许攻击者执行 NTLM relay 攻击(利用 NTLM 协议拦截身份验证数据并将其重定向到其他服务器或服务上以获得未经授权的权限)并通过Exchange 服务器的身份验证。
根据 Microsoft 的数据,上述所有漏洞都已被利用。除此之外,TrendMicro 发现 Water Hydra APT 组织利用了 CVE-2024-21412 漏洞:其网络钓鱼活动针对金融市场交易者。
为修复漏洞,需要安装安全更新,更新可从 Microsoft 官方网站下载。
Connect Secure、Ivanti Policy Secure 和 Ivanti Neurons for ZTA 中的服务器端请求伪造漏洞
CVE-2024-21893 (CVSS - 8.2)
该漏洞存在于 Ivanti Connect Secure 以及 Security Assertion Markup Language (SAML) 组件中。1 月 15 日,Volexity 称发现了黑客攻击[2]1,700 多台设备的证据,这些设备分属于各行业(金融、政府、军事等)不同规模的公司。根据 Shadowserver 的数据,网络上运行 Ivanti Connect Secure 的设备超过 19,500 台。
如果设备没有设置身份验证或安装的 xmltooling 是过期版本,攻击者就可以利用这个漏洞。
Ivanti Connect Secure 和 Ivanti Policy Secure 中的身份验证绕过漏洞
CVE-2023-46805 (CVSS - 8.2)
这个零日漏洞存在于 Ivanti Connect Secure 9 版本和 22 版本中,该软件允许您将个人设备用于工作。“如果将 CVE-2023-46805 与 CVE-2024-21887 组合起来利用,攻击者不需要进行身份验证,就可以创建恶意请求,并在未经身份验证的情况下在系统上执行任意命令”,Ivanti 写道。
Ivanti ICS 和 Ivanti Policy Secure 命令注入漏洞
CVE-2024-21887 (CVSS - 9.1)
这是另一个存在于 Ivanti Connect Secure 9 版本和 22 版本中的零日漏洞。攻击者可以利用该漏洞被认证为管理员,在设备上执行任意命令,并可通过互联网利用该漏洞。将该漏洞与 CVE-2023-46805 组合利用,攻击者可以在未经身份验证的情况下在节点上远程执行代码。这样,攻击者就能访问组织的内部基础设施,并对服务器进行攻击和加密。
2 月 8 日,Ivanti 宣布已修复该漏洞,并发布了 Ivanti Connect Secure 的安全更新(9.1R14.5、9.1R17.3、9.1R18.4、22.4R2.3、22.5R1.2、22.5R2.3 和 22.6R2.2 版本)、Ivanti Policy Secure(9.1R17.3、9.1R18.4 和 22.5R1.2 版本)和 ZTA 网关(22.5R1.6、22.6R1.5 和22.6R1.7 版本)。如果无法安装安全更新,则应当使用 Ivanti 客户端可用的 XML 文件。其可最大限度地减少由于漏洞利用可能造成的后果。
CISA 机构发布了一篇文章,其中介绍了降低风险和消除漏洞的方案。