HackerNews 编译,转载请注明出处:
谷歌透露,2024年观察到75个在野利用的零日漏洞,较2023年的98个有所下降。
在这75个零日漏洞中,44%针对企业产品。其中多达20个漏洞出现在安全软件和设备中。
“浏览器和移动设备的零日漏洞利用量大幅下降,与去年相比,浏览器漏洞利用减少约三分之一,移动设备漏洞利用减少约一半,”谷歌威胁情报小组(GTIG)在提供给《The Hacker news》的报告中表示,“由多个零日漏洞组成的攻击链仍几乎完全(约90%)用于攻击移动设备。”
2024年被利用的零日漏洞中,微软Windows占22个,苹果Safari有3个,iOS有2个,安卓有7个,Chrome有7个,Mozilla Firefox有1个。安卓的7个零日漏洞中有3个存在于第三方组件中。
在企业软件和设备中被利用的33个零日漏洞中,有20个针对Ivanti、Palo Alto Networks和思科等厂商的安全和网络产品。
“安全与网络工具和设备设计用于连接广泛的系统和设备,需要高权限来管理产品及其服务,这使得它们成为威胁行为者寻求高效入侵企业网络的宝贵目标。”GTIG研究人员指出。
2024年共有18家不同企业供应商成为攻击目标,而2021年为12家,2022年17家,2023年22家。被攻击最多的公司包括微软(26个)、谷歌(11个)、Ivanti(7个)和苹果(5个)。
此外,75个漏洞中的34个零日漏洞利用可归因于六大威胁活动集群:
- 国家资助的间谍活动(10个)(例如CVE-2023-46805、CVE-2024-21887)商业监控供应商(8个)(例如CVE-2024-53104、CVE-2024-32896、CVE-2024-29745、CVE-2024-29748)非国家金融动机组织(5个)(例如CVE-2024-55956)具有国家资助间谍和金融动机的组织(5个),全部来自朝鲜(例如CVE-2024-21338、CVE-2024-38178)同时从事间谍活动的非国家金融动机组织(2个),全部来自俄罗斯(例如CVE-2024-9680、CVE-2024-49039)
谷歌表示,2024年11月发现乌克兰外交学院网站(online.da.mfa.gov[.]ua)存在恶意JavaScript注入,触发CVE-2024-44308漏洞实现任意代码执行。攻击者随后利用WebKit的Cookie管理漏洞CVE-2024-44309发起跨站脚本(XSS)攻击,最终收集用户Cookie以未授权访问login.microsoftonline[.]com。
谷歌还独立发现了针对Firefox和Tor浏览器的攻击链,该攻击链结合利用CVE-2024-9680和CVE-2024-49039突破Firefox沙箱,以提升权限执行恶意代码,为部署RomCom远控木马铺平道路。此前被ESET披露的该活动被归因于RomCom组织(又名Storm-0978、Tropical Scorpius等),谷歌将其追踪为CIGAR——兼具金融和间谍动机的双重威胁组织。
这两个漏洞还被另一个疑似金融动机的黑客组织作为零日漏洞利用。攻击者通过入侵合法的加密货币新闻网站作为水坑攻击平台,将访问者重定向到托管攻击链的恶意域名。
“零日漏洞利用继续以缓慢但稳定的速度增长,但我们也开始看到厂商缓解零日漏洞的工作初见成效,”GTIG高级分析师Casey Charrier在声明中表示,“例如针对历史高发产品的零日攻击有所减少,这得益于大型厂商投入的防护资源。同时,零日攻击正转向更多企业级产品,这要求更广泛的供应商提升主动安全措施。零日攻击的未来最终将取决于厂商能否有效遏制威胁行为者的目标。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
