2023年最严重的10起0Day漏洞攻击事件

根据谷歌公司威胁分析小组去年 7 月发布的报告显示，2022 年全球共有 41 个 0day 漏洞被利用和披露。而研究人员普遍认为，2023 年被利用的 0Day 漏洞数量会比 2022 年更高，这些危险的漏洞被广泛用于商业间谍活动、网络攻击活动以及数据勒索攻击等各种场合。本文收集整理了 2023 年 10 个最具破坏性的 0Day 攻击事件。

1

Fortra GoAnywhere

CVE-2023-0669 漏洞（CNNVD 编号：CNNVD-202302-398）是 2023 年第一个导致大范围勒索攻击的 MFT 零日漏洞，它是 Fortra GoAnywhere 管理文件传输（MFT）产品中的一个预验证命令注入漏洞。网络安全记者 Brian Krebs 于 2 月 2 日首次报道了这个漏洞。而 Fortra 公司也在前一天向身份经过验证的客户发布了针对 CVE-2023-0669 漏洞的安全公告。

尽管该漏洞在 2 月 7 日就被修补，但直到 3 月 14 日，数据安全供应商 Rubrik 才完整披露了和 GoAnywhere 漏洞相关的泄密事件以及该漏洞的利用细节。同一天，Cloq 勒索软件团伙在其数据泄露网站上列出了与该零日漏洞有关的受害企业组织，包括 Rubrik、宝洁、日立能源和 Community Health Systems 等 100 多家企业。

2

梭子鱼电子邮件安全网关

2023 年 5 月 23 日，梭子鱼网络披露了其电子邮件安全网关（ESG）设备中发现了一个 0day 漏洞，编号为 CVE-2023-2868（CNNVD 编号：CNNVD-202305-2128）。该公司表示，它于 5 月 19 日发现了该缺陷，并于第二天向所有设备发布了补丁。虽然最初的公告包含有关该漏洞的一些详细信息，但有关该缺陷和相关攻击的更多信息于次周曝光。

通过进一步调查发现，该远程命令注入漏洞早在 2022 年 10 月就被利用了，攻击者使用三种类型的恶意软件获得了部分 ESG 设备的持久后门访问权限，进而从客户网络系统中窃取数据。为了修复漏洞，梭子鱼为其客户免费更换了受破坏的设备。

2023 年 6 月 15 日，Mandiant 报道称，这些攻击是由网络间谍组织 UNC4841 发起的。威胁行为者修改了其恶意软件，以防止有效修补并保持对受感染设备的持久访问。美国联邦调查局 8 月警告称，黑客们仍在继续利用这个漏洞。

3

Progress Software MoveIt Transfer

2023 年 5 月 31 日，Progress Software 公司披露并修补了 MoveIt Transfer 软件中的 SQL 注入漏漏 CVE-2023-34362（CNNVD 编号：CNNVD-202306-110）。次日，Rapid7 报告了零日漏洞被利用的活动，但几天后情况开始恶化。

2023 年 6 月 4 日，微软威胁情报中心将 MoveIt Transfer 漏洞归因 Lace Tempest 威胁分子，这伙人与 Clop 勒索软件团伙有关。Mandiant 也观察到了该漏洞被大肆利用的活动，攻击者闯入 MoveIt Transfer 实例，窃取客户数据，受害者包括美国州和联邦政府机构、英国航空公司、Extreme Networks 和西门子能源公司。

就像针对 Fortra GoAnywhere 客户的攻击一样，CVE-2023-34362 漏洞攻击者一心窃取数据，没有在受害者的环境中部署勒索软件。目前尚不清楚多少受害者支付了赎金，但攻击范围令人震惊。Emsisoft 在 2023 年 9 月估计，Clop 的数据窃取和勒索活动影响了全球 2095 家组织和超过 6200 万人。

4

VMware Tools

2023 年 6 月 13 日，VMware 披露了一个影响 ESXi 虚拟机管理程序实例的低危漏洞。这个身份验证绕过漏洞编号为 CVE-2023-20867（CNNVD 编号：CNNVD-202306-968），能够让受感染的 ESXi 主机上的攻击者可以突破 VMware Tools 主机到访客操作中的身份验证检查机制，最终危及虚拟机。

由于攻击者需要对 ESXi 虚拟机管理程序获得根访问权限，CVE-2023-20867 被赋予的 CVSS v3 分数仅为 3.9 分，不过 Mandiant 公司披露，一个名为 UNC3886 的网络间谍威胁组织利用了 VMware Tools 的漏洞，该组织在 2022 年就利用恶意软件系列攻击了 ESXi 主机。

在最近的攻击中，该网络间谍组织的目标是美国和亚太地区的国防、技术和电信组织。Mandiant 称这些攻击者非常老练，他们利用了 VMware 0day 漏洞，从 ESXi 主机上的访客虚拟机执行特权命令，同时部署了持久的后门。这些攻击表明，一些 CVSS 分数较低的漏洞也可以被威胁分子用来造成重大破坏。

5

微软 Windows 和 Office

2023 年，微软产品曝出的最严重漏洞之一就是 CVE-2023-36884（CNNVD 编号：CNNVD-202307-797），这是 Windows 搜索工具中的远程代码执行（RCE）漏洞。该漏洞是在微软 7 月发布的周二补丁日中首次披露的，主要影响了 Windows 和 Office 软件。

与其他的微软漏洞相比，CVE-2023-36884 漏洞主要有两大特点：首先，RCE 漏洞在披露时没有补丁，微软仅提供了缓解措施以防止被利用，该漏洞一直到 8 月的周二补丁日才得到修复；其次，某东欧地区的网络犯罪组织将 CVE-2023-36884 用于侧重间谍的网络钓鱼活动以及出于牟利的勒索软件攻击。据微软报告，该组织的攻击目标是北美和欧洲的国防组织和政府实体。攻击者利用 CVE-2023-36884 绕过微软的 MotW 安全功能，该功能通常阻止恶意链接和附件。

6

WebP/Libwebp

2023 年 9 月 11 日，谷歌针对其开发的图像格式 WebP 中一个严重的堆缓冲区溢出漏洞发布了紧急补丁。这个零日漏洞编号为 CVE-2023-4863（CNNVD 编号：CNNVD-202309-784），允许远程攻击者通过恶意 WebP 图像执行越界内存写入。

这个漏洞不仅仅影响谷歌的 Chrome 浏览器，同时还因影响所有支持 WebP 格式的浏览器，因此微软、苹果和 Mozilla 等公司也陆续发布了浏览器版本更新。更多细节显示，虽然谷歌最初称其为是 WebP 的缺陷，但安全研究人员指出，这个问题其实存在于开源 Libwebp 库中。

让事情变得更加复杂的是，Cloudflare 等一些网络安全公司认为，CVE-2023-4863 与 Apple ImageI/O 框架中的另一个 0day 堆缓冲区溢出漏洞之间存在相似之处，该漏洞在 9 月 7 日被披露和修补，并被追踪为 CVE-2023-41064。研究人员发现，该漏洞已被商业间谍软件供应商 NSOGroup 的零点击攻击武器化。

7

苹果 iOS 和 iPadOS

苹果在 2023 年也曝出了 0day 漏洞，特别是 9 月 21 日披露的 iOS 和 iPadOS 中的三个漏洞尤为突出。这些漏洞包括：CVE-2023-41992（操作系统内核中的特权提升漏洞，CNNVD 编号为 CNNVD-202309-2064）、CVE-2023-41991（让攻击者可以绕过签名验证的安全漏洞，CNNVD 编号为 CNNVD-202309-2065）以及 CVE-2023-41993（苹果的 WebKit 浏览器引擎中导致代码任意执行的漏洞，CNNVD 编号为 CNNVD-202309-2063）。这些漏洞被用在一条漏洞链中，用于投放商监视供应商 Cytrox 的间谍软件产品 Predator。埃及议会前议员 Ahmed Eltantawy 在 2023 年 5 月至 9 月期间成为了 Predator 间谍软件的目标。研究人员调查了其手机上的活动，发现手机感染了 Predator 间谍软件。

8

Atlassian Confluence

10 月 4 日，Atlassian 公司披露并修补了其 Confluence 数据中心和服务器产品中的一个 0day 漏洞。该漏洞编号为 CVE-2023-22515（CNNVD 编号：CNNVD-202310-278），最初是特权提升漏洞，影响 Confluence 工作空间套件的自托管版本。Atlassian 表示这是一个非常严重的漏洞，并给这个零日漏洞赋予 10 分的 CVSS 分数。

目前不清楚有多少 Atlassian 客户受到了该漏洞的攻击，也不清楚攻击者针对哪些类型的组织。Atlassian 敦促所有客户立即更新 Confluence 实例，或者将高危版本与公共互联网隔离，直到可以正确地打上补丁。

9

思杰 NetScaler ADC 和 NetScaler 网关

2023 年 10 月 10 日，思杰公司修复了两个影响多个版本 NetScaler ADC 和 NetScaler 网关的安全漏洞，其中一个是敏感信息泄露漏洞，编号为 CVE-2023-4966（CNNVD 编号：CNNVD-202310-666），它被网络安全专业人士认为是 Citrix Bleed 的最严重漏洞之一。

Mandiant 调查发现，自 8 月以来就观察到牵涉 CitrixBleed 的攻击活动，主要针对政府和技术组织。威胁分子劫持高危设备的身份验证会话，从而得以绕过 MFA 和其他身份验证检查机制。更令人担忧的是，即使修复了 CVE-2023-4966，这些被劫持的会话仍可能被威胁分子滥用，因此建议客户除了安装补丁外，还应该采取另外的缓解措施。

利用该零日漏洞的活动在 11 月仍在继续。CISA 和 FBI 在联合报告中就 LockBit 攻击发出了安全警告，他们预计还将会看到该漏洞被大肆利用的现象。

10

思科 IOS XE

2023 年 10 月 16 日，思科公司发布了 IOS XE 软件中关键零日漏洞 CVE-2023-20198（CNNVD 编号：CNNVD-202310-1209）的安全公告。该零日漏洞影响所有启用了 Web 用户界面功能的 IOS XE 版本。远程攻击者可以利用该漏洞，针对运行该软件的设备获得最高访问权限。由于披露时还未发布补丁，因此思科公司建议客户立即禁用所有高危系统的 HTTP 服务器功能。

研究人员表示，攻击者最早从 9 月 18 日起就开始利用漏洞，一连串攻击由同一伙身份不明的威胁分子实施。攻击者利用了漏洞在中招的设备上部署了名为 BadCandy 的植入软件。10 月 22 日，思科发布了针对 CVE-2023-20198 以及第二个相关漏洞 CVE-2023-20273 的安全补丁。由于该漏洞已经被较广泛利用，思科敦促所有客户立刻部署补丁，并采取建议的缓解措施。