网络第5域

2023年GreyNoise在野大规模漏洞利用报告

字号+作者: 来源:安全内参 2024-02-06 00:00 评论(创建话题) 收藏成功收藏本文

全球范围内的在野漏洞利用攻击情况到底如何?美国第十八任总统、南北战争中出色的将领 Ulysses S. Grant 曾说“战争的艺术很简单:找到敌人在哪里,尽可能快'...

全球范围内的在野漏洞利用攻击情况到底如何?

美国第十八任总统、南北战争中出色的将领 Ulysses S. Grant 曾说“战争的艺术很简单:找到敌人在哪里,尽可能快地对他们进行猛烈打击”。GreyNoise 的创始人Andrew Morris 认为:尽管攻击技术复杂多变、市场风起云涌,防御的艺术也很简单:找到攻击者使用的技术,确定攻击来自哪里,尽快让攻击无效化。y1E品论天涯网

概述y1E品论天涯网

2023 年GreyNoise 新增了290 个标签,覆盖242 个常见漏洞利用。其中,67 个标签在CISA 的已知利用漏洞(KEV)目录中,23 个标签与勒索软件有关。y1E品论天涯网

2023 年,社区查询了1730 万次GreyNoise GNQL 查询请求。排名前五的标签为:y1E品论天涯网

  • Citrix Adc NetScaler Information Disclosure Attempt(CVE-2023-4966)y1E品论天涯网

  • Huawei HG532 UPnP Worm(CVE-2017-17215)y1E品论天涯网

  • RealTek Miniigd UPnP Worm(CVE-2014-8361)y1E品论天涯网

  • GPON Router Worm(CVE-2018-10561)y1E品论天涯网

  • Netgear Command Injection(CVE-2016-6277)y1E品论天涯网

从频度来看,5.188.210.227 这个IP 地址引起了很多人的关注:y1E品论天涯网

y1E品论天涯网

年度漏洞:CVE-2023-34362 y1E品论天涯网

在 Progress 于2023 年5 月31 日披露CVE-2023-34362 前几周,攻击者就开始利用该漏洞进行攻击了,Cl0p 勒索软件团伙是最早利用该漏洞的攻击者之一。研究显示,该漏洞的受害者可能超过 2600 个组织,波及近9000 万人。y1E品论天涯网

y1E品论天涯网

年度漏洞:CVE-2023-4966 y1E品论天涯网

CVE-2023-4966(又称CitrixBleed)针对Citrix NetScaler ADC 和 NetScaler Gateway 允许攻击者绕过多因子认证劫持会话。包括 LockBit 勒索软件团伙在内的多个黑客组织已积极利用该漏洞,平均每天三十多个 IP 对外进行攻击。y1E品论天涯网

y1E品论天涯网

年度漏洞:CVE-2023-27350 y1E品论天涯网

2023 年4 月中旬CVE-2023-27350 被发现,FBI 名为Bl00dy 的勒索软件团伙也开始针对该漏洞进行攻击。y1E品论天涯网

y1E品论天涯网

已知利用漏洞(KEV)y1E品论天涯网

CISA 的已知利用漏洞(KEV)列表旨在为美国政府内外部提供有针对性的主动威胁列表,值得防守者花时间进行优先修复的。67 个 GreyNoise 跟踪的标签,活动情况如下所示:y1E品论天涯网

y1E品论天涯网

63% 的情况下GreyNoise 发布标签都比CISA 披露KEV 清单要早。2023 年,CISA 增加了有哪些勒索软件攻击者利用该漏洞进行攻击的标签。目前,已有20% 的KEV 被勒索软件团伙用于攻击。y1E品论天涯网

y1E品论天涯网

国家冲突中的漏洞利用y1E品论天涯网

俄乌冲突、巴以冲突等重大冲突,双方不仅局限在物理空间中进行对抗。相比物理空间中的范围可控,网络空间中的对抗往往会产生溢出效应。例如乌克兰安全局称俄罗斯黑客入侵摄像头,对基辅的防空系统和关键基础设施进行监控。乌克兰安全局已经拆除了近万台摄像头,“攻击者本打算利用这些摄像头调整对乌克兰的导弹袭击”。y1E品论天涯网

y1E品论天涯网

另外,2023 年12 月也有利用以色列生产的工控设备存在的漏洞攻击美国水务相关单位的事情发生。y1E品论天涯网

国家视角数据y1E品论天涯网

GreyNoise 重点介绍了沙特阿拉伯这个国家在 2023 年10 月的数据情况。整个月,GreyNoise 发现了52602 次针对沙特阿拉伯的攻击,以及沙特阿拉伯对其他国家/地区的2204 次攻击。y1E品论天涯网

攻击来源国家TOP 20 如下所示:y1E品论天涯网

y1E品论天涯网

攻击源 IP 绝大多数都是来自ISP 的:y1E品论天涯网

y1E品论天涯网

从标签聚合来看,僵尸网络要承担较大责任。y1E品论天涯网

y1E品论天涯网

对外发起的攻击,则主要流向了美国和英国。y1E品论天涯网

y1E品论天涯网

沙特阿拉伯在 2007 年就通过了《反网络犯罪法》,制定了国家网络安全战略,并且成立了国家网络安全局(NCA)。如果政府发现沙特境内对外发起攻击,根据具体罪行严重情况,最高可能会处以一年监禁或50 万沙特里亚尔(近100 万人民币)的罚款y1E品论天涯网

标签y1E品论天涯网

GreyNoise 共支持45 个CWE 标签,如下七个标签就占据了70% 的当量。y1E品论天涯网

y1E品论天涯网

MITRE ATT&CK 标签也是一样,如下七个技术项占到了六成的比例。y1E品论天涯网

y1E品论天涯网

2022 年 GreyNoise 在野大规模漏洞利用报告,可以参看以前的文章:y1E品论天涯网

2022 年 GreyNoise 在野大规模漏洞利用报告y1E品论天涯网

y1E品论天涯网

Avenger,公众号:威胁棱镜2022 年 GreyNoise 在野大规模漏洞利用报告y1E品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]