聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
谷歌披露称,在2024年全年共检测到75个已遭利用0day,比2023年的98个有所降低。在这75个0day中,44%针对的是企业产品,多达20个漏洞位于安全软件和设备中。
谷歌威胁情报团队 (GTIG) 在一份报告中提到,“去年,浏览器和移动设备0day漏洞利用数量大幅降低,其中浏览器的0day漏洞利用降低了约三分之一,而移动设备的利用降低了约一半。由多个0day漏洞组成的利用链仍然几乎仅用于(约90%)攻击移动设备。”
在这些已遭利用0day 中,微软 Windows 有22个、苹果 Safari 有3个、iOS 有1个、安卓有7个、Chrome 有7个、Mozilla Firefox 有1个,其中三个安卓0day漏洞位于第三方组件中。在针对企业软件和设备的33个0day中,其中20个针对的是安全和网络产品如 Ivanti、Palo Alto Networks 和思科产品。研究人员提到,“安全和网络工具和设备旨在连接使用广泛的系统和设备,管理产品及其服务需要具有高权限,因此是攻击者进入企业网络的有效访问权限。”
总体而言,2024年共有18家企业厂商遭0day利用攻击,而在2021年这一数字为12家、2022年为17家,2023年为22家。具有最多0day利用的企业是微软(26个)、谷歌(11个)、Ivanti(7个)和苹果(5个)。
此外,在这75个0day漏洞中,34个漏洞利用被归咎于六大威胁活动集群:
受国家资助的间谍活动(10起)(如CVE-2023-46805、CVE-2024-21887)
商用监控厂商(8起)(如CVE-2024-53104、CVE-2024-32896、CVE-2024-29745、CVE-2024-29748)
受国家支持的间谍和金融利益组织(5起,均为朝鲜)(如CVE-2024-21338和CVE-2024-38178)
非国家的经济利益驱动组织也开展间谍活动(2起,均为俄罗斯组织)(如CVE-2024-9680和CVE-2024-49039)
谷歌表示,2024年11月在乌克兰外交学院网站上发现一个恶意 JavaScript 注入,它触发了CVE-2024-44308的利用,导致任意代码执行。之后该漏洞和位于WebKit中的一个cookie 管理漏洞CVE-2024-44309组合利用于发动XSS攻击并最终收集用户 cookie,以获得访问login.microsoftonline[.]com的越权访问权限。
谷歌还表示,独立发现了针对Firefox 和 Tor 浏览器的利用链,组合利用CVE-2024-9680和CVE-2024-49039攻破Firefox沙箱并以提升后的权限执行恶意代码,因此铺平了部署 RomCom RAT的道路。该活动此前曾被ESET公司标记过,被指由 RomCom 发动,谷歌正在追踪这一受经济利益和间谍双重目的的组织,并将其命名为“CIGAR”。这两个漏洞据称均被一个可能受经济利益驱动的黑客组织滥用,该组织利用一个合法的受陷的密币新闻网站作为水坑,将受访者重定向到托管着该利用链的受攻击者控制的域名。
GTIG公司的高级分析师Casey Charrier 提到,“0day利用仍然缓慢但稳定地增长。然而,我们已开始利用厂商工作来缓解0day利用并取得成效。例如,我们发现以往针对产品的热门0day利用实例变少了,可能是以为很多大型企业已投入精力和资源以防遭利用。同时,我们发现0day漏洞利用越来越多地转向企业产品,二者需要更广泛的、更多样性的厂商提高主动的安全措施。0day利用的未来终将由厂商应对威胁目标和目的的决策和能力所决定。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
原文链接
https://thehackernews.com/2025/04/google-reports-75-zero-days-exploited.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
