关注我们
带你读懂网络安全
谷歌威胁情报小组表示,2024年共发现75个已被实际利用的零日漏洞,其中44%的零日漏洞针对企业产品,27%针对网络与安全类别产品。
前情回顾·零日漏洞利用态势
安全内参4月30日消息,谷歌公司披露,2024年共发现75个被实际利用的零日漏洞,较2023年的98个有所减少。
在这75个零日漏洞中,有44%是针对企业产品的,其中多达20个出现在安全软件和设备中。
图:历年在野零日漏洞利用数量(企业vs.终端用户)
企业产品零日漏洞持续增长
谷歌威胁情报小组(GTIG)发布报告称:“浏览器和移动设备的零日漏洞利用大幅下降,与去年相比,浏览器相关漏洞减少约三分之一,移动设备减少约一半。”
“由多个零日漏洞构成的利用链依然几乎专用于攻击移动设备,占比约90%。”
在2024年被利用的零日漏洞中,微软Windows占22个,苹果Safari为3个,iOS为2个,安卓为7个,Chrome也为7个,Mozilla Firefox为1个。在安卓的7个漏洞中,有3个来自第三方组件。
在33个被利用的企业软件与设备零日漏洞中,有20个针对的是安全与网络类产品,例如Ivanti、Palo Alto Networks和思科的相关产品。
谷歌研究人员指出:“安全与网络类别的工具和设备通常连接大量系统与终端,并需具备高权限来管理这些产品及其服务,因此成为威胁行为者实现高效入侵企业网络的重要目标。”
图:历年受零日漏洞影响的企业厂商数量
总体来看,2024年共有18家独立企业厂商遭受攻击,较2021年的12家、2022年的17家和2023年的22家略有下降。遭遇零日攻击最多的企业包括微软(26个)、谷歌(11个)、Ivanti(7个)和苹果(5个)。
威胁行为团伙身份归因
在这75个漏洞中,有34个被归因于6类主要的威胁行为团体:
国家支持的间谍活动(10个),包括俄罗斯(1个)和韩国(1个)等,如CVE-2023-46805、CVE-2024-21887
商业监控厂商(8个),如CVE-2024-53104、CVE-2024-32896、CVE-2024-29745、CVE-2024-29748
非国家经济动机团体(5个),如CVE-2024-55956
国家支持的间谍兼经济动机团体(5个),全部来自朝鲜,如CVE-2024-21338、CVE-2024-38178
同时涉及间谍活动的非国家经济动机团体(2个),均来自俄罗斯,如CVE-2024-9680、CVE-2024-49039
零日漏洞利用案例
谷歌表示,2024年11月在乌克兰外交学院网站(online.da.mfa.gov[.]ua)上发现一起恶意JavaScript注入事件,触发了CVE-2024-44308的利用,实现了任意代码执行。
此后,攻击者利用该漏洞与CVE-2024-44309(WebKit中的一个Cookie管理漏洞)结合使用,发起跨站脚本攻击(XSS),最终收集用户的Cookies,以未经授权方式访问login.microsoftonline[.]com。
谷歌还公布了另一起事件,其独立发现了一组针对Firefox和Tor浏览器的漏洞利用链,利用CVE-2024-9680和CVE-2024-49039组合突破了Firefox的沙箱机制,并通过提权执行恶意代码,为RomCom RAT的部署铺平了道路。
该攻击活动曾被ESET标记,并归因于一个名为RomCom的威胁行为者(又称Storm-0978、Tropical Scorpius、UAC-0180、UNC2596和Void Rabisu)。谷歌将该具备经济与间谍双重动机的团体命名为CIGAR并持续追踪。
据称,这两个漏洞还曾被另一个可能出于经济目的的黑客团体以零日形式加以利用。该团体使用一个合法但被攻陷的加密货币新闻网站作为水坑,诱导访问者跳转至其控制的域名以加载漏洞利用链。
谷歌高级分析师Casey Charrier表示:“零日漏洞利用仍在以缓慢但稳定的速度增长,但我们也已看到厂商在遏制零日漏洞方面的努力开始显现成效。”
“例如,我们发现,以往频繁被攻击的产品在2024年遭遇的零日漏洞案例有所减少,这可能是由于大型厂商在防范漏洞利用方面投入了更多资源和努力。”
“与此同时,零日漏洞利用正呈现出更聚焦于企业级产品的趋势,这也迫使更多类型的厂商必须采取更积极的安全防护措施。零日漏洞利用的发展趋势,最终将取决于厂商的决策能力以及其应对威胁行为者攻击目标与行动的反应能力。”
参考资料:thehackernews.com
点击下方卡片关注我们,
带你一起读懂网络安全 ↓
📍发表于:中国 北京
