近日，安恒信息中央研究院聯(lián)合安恒信息神盾局正式發(fā)布《2022年度網(wǎng)絡(luò)安全綜合態(tài)勢觀察手冊》。綜合2022年披露的36個在野0day，安恒威脅情報中心梳理了值得關(guān)注的七大在野0day漏洞趨勢。

提權(quán)0day數(shù)量維持高位，且多點開花

近年來，隨著主流操作系統(tǒng)和主流瀏覽器引入越來越健全的沙箱機(jī)制，APT組織對提權(quán)漏洞的需求也隨之上升，2022年更是體現(xiàn)出多點開花的趨勢。縱觀2022年，提權(quán)0day在全年在野0day中占比達(dá)43%。無論是Windows、iOS、Mac OS、Pixel操作系統(tǒng)，還是FireFox、Exchange應(yīng)用程序，都出現(xiàn)了提權(quán)0day的攻擊案例。以下是整理得到的2022年所有在野提權(quán)0day基本信息。

如果我們把視線聚焦在Windows本地提權(quán)在野0day，今年可以說是品種繁多。今年總共出現(xiàn)了7個Windows本地提權(quán)在野0day，包括3個內(nèi)核提權(quán)0day、3個用戶態(tài)提權(quán)0day和1個COM+提權(quán)0day。3個內(nèi)核提權(quán)0day中，包括1個Win32k驅(qū)動內(nèi)核提權(quán)0day和2個CLFS驅(qū)動內(nèi)核提權(quán)0day。值得一提的是，其中一個CLFS內(nèi)核提權(quán)0day(CVE-2022-37969)由安恒信息獵影實驗室在2022年9月初捕獲并披露。

微軟仍然是0day攻擊的頭號目標(biāo)

在2022年披露的37個在野0day中，微軟占了13個，高于谷歌和蘋果。這表明2022年微軟仍然是被0day攻擊最多的廠商，這個趨勢和去年保持一致。

瀏覽器仍然是重災(zāi)區(qū)

在2022年披露的36個在野0day中，14個是瀏覽器0day，占比高達(dá)38%。這些瀏覽器0day包括8個Chrome在野0day，2個Safari在野0day和2個Firefox在野0day。此外，雖然IE瀏覽器已經(jīng)退役，但2022年仍然出現(xiàn)了1個IE在野0day。2022年所有瀏覽器在野0day的基本信息整理如下。

針對Chrome的0day攻擊有所回落

2022年一共披露了9個Chrome在野0day。這個數(shù)字顯著低于2021年，造成這個現(xiàn)象的主要原因是Chrome瀏覽器開發(fā)團(tuán)隊和谷歌安全團(tuán)隊為V8引擎設(shè)計并開發(fā)了針對性的漏洞緩解機(jī)制，這些緩解機(jī)制提高了Chrome漏洞的利用難度。

操作系統(tǒng)0day比例顯著上升

與2021年相比，2022年的操作系統(tǒng)在野0day占比顯著上升(從29%上升到46%)。這主要由兩個原因造成：一是2022年瀏覽器在野0day占比有所下降(從45%降低到38%)，二是2022年提權(quán)在野0day占比仍維持高位(占總數(shù)的43%)，而這些提權(quán)0day大多屬于操作系統(tǒng)漏洞。

Exchange 0day攻擊事件再次發(fā)生

安恒信息曾在2021年的APT報告中預(yù)測Exchange 0day在2022年會繼續(xù)出現(xiàn)，現(xiàn)實確實如此。2022年9月底，越南網(wǎng)絡(luò)安全公司GTSC捕獲了兩個Exchange Server在野0day并進(jìn)行了披露。但令人感到不解的是，這家公司并沒有將這相關(guān)漏洞報送給微軟，而是報送給了著名的漏洞收購中間商ZDI，這是一種相當(dāng)危險的做法。

此次攻擊涉及一個Exchange Server遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-41082)和一個Exchange Server權(quán)限提升漏洞(CVE-2022-41040)，微軟直到2022年11月的安全更新才將兩個漏洞完全修復(fù)。

以O(shè)ffice為載體的邏輯漏洞再次出現(xiàn)

2022年，以O(shè)ffice為載體的邏輯漏洞再次出現(xiàn)，新出現(xiàn)的漏洞(CVE-2022-30190)和2021年披露的CVE-2021-40444漏洞非常相似：都是以Word文檔作為攻擊入口，都是邏輯漏洞，漏洞利用代碼都存儲在云端。兩者不同的地方在于：CVE-2021-40444是IE瀏覽器的漏洞，而CVE-2022-30190屬于Windows系統(tǒng)MSDT組件的漏洞。

10大熱門漏洞回顧

根據(jù)安恒信息衛(wèi)兵實驗室數(shù)據(jù)分析：截止2022年12月14日，美國非營利組織MITRE頒發(fā)CVE編號31,311個，其中公開披露漏洞數(shù)量已達(dá)18,655個。結(jié)合新增通用型漏洞總體數(shù)量與危害分布來看，漏洞仍然是網(wǎng)絡(luò)空間安全威脅的最大來源，漏洞數(shù)量持續(xù)增長，危害程度較大漏洞占比維持高位，一些容易被發(fā)現(xiàn)、利用難度不高但危害較大的漏洞類型成為熱點。

在所公開披露的18,655個漏洞中，已有16,929個漏洞通過CVSS3計算公式進(jìn)行定級。按照超危(9.0~10.0)、高危(7.0~8.9)、中危(4.0~6.9)、低危(0.0~3.9)四種漏洞危害等級劃分，其中：超危漏洞2,876個，占比 17%;高危漏洞6,753個，占比 40%;中危漏洞 6840個，占比 40%;低危漏洞 460個，占比3%。漏洞危害等級分布如圖表1 所示，從漏洞危害等級分布來看，超高危漏洞占比較大，超過 2022 年全年公開披露漏洞數(shù)量的 50%。

1、CVE-2022-1040 Sophos Firewall 遠(yuǎn)程代碼執(zhí)行漏洞

該漏洞是Sophos Firewall 的用戶門戶和 Webadmin 中的身份驗證繞過漏洞，可利用該漏洞繞過認(rèn)證并執(zhí)行任意代碼，主要是在 User Portal 及 Webadmin 兩個接口存在認(rèn)證繞過漏洞，利用了 Java 和 Perl 處理解析 JSON 數(shù)據(jù)的差異性，實現(xiàn)了變量覆蓋，從而導(dǎo)致認(rèn)證繞過及命令執(zhí)行。

2、CVE-2022-22963 Spring Cloud Function SPEL表達(dá)式注入

由于Spring Cloud Function中RoutingFunction類的apply方法將請求頭中的“spring.cloud.function.routing-expression”參數(shù)作為Spel表達(dá)式進(jìn)行處理，造成了Spel表達(dá)式注入漏洞。當(dāng)使用路由功能時，攻擊者可利用該漏洞遠(yuǎn)程執(zhí)行任意代碼。

3、CVE-2022-1388/CNVD-2022-35519 F5 BIG-IP遠(yuǎn)程代碼執(zhí)行

該漏洞是由于iControl REST的身份驗證功能存在缺陷，攻擊者可利用該漏洞在未授權(quán)的情況下，構(gòu)造惡意數(shù)據(jù)執(zhí)行身份證繞過攻擊，最終接管設(shè)備控制平臺。

4、CVE-2022-42475 Fortinet FortiOS sslvpnd遠(yuǎn)程代碼執(zhí)行漏洞

FortiOS sslvpnd存在堆溢出漏洞，未經(jīng)身份驗證的遠(yuǎn)程攻擊者通過特制請求觸發(fā)堆溢出，從而在目標(biāo)系統(tǒng)上執(zhí)行任意代碼或命令。

5、CVE-2022-27518 Citrix ADC和Citrix Gateway遠(yuǎn)程代碼執(zhí)行漏洞

Citrix ADC主要用于將用戶對Web頁面和其他受保護(hù)應(yīng)用程序的請求分配到所有托管(或鏡像)相同內(nèi)容的多臺服務(wù)器。Citrix Gateway則是一套安全的遠(yuǎn)程接入解決方案，可提供應(yīng)用級和數(shù)據(jù)級管控功能，以實現(xiàn)用戶從任何地點遠(yuǎn)程訪問應(yīng)用和數(shù)據(jù)。由于系統(tǒng)未能在其整個生命周期(創(chuàng)建、使用和釋放)保持對資源的控制，致使遠(yuǎn)程攻擊者在未經(jīng)身份驗證的情況下可在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

6、CVE-2022-28219/CNVD-2022-29866/CNNVD-202204-2014 Zoho ManageEngine ADAudit Plus遠(yuǎn)程代碼執(zhí)行漏洞

Zoho ManageEngine ADAudit Plus7060之前版本可被未經(jīng)身份驗證的攻擊者利用來遠(yuǎn)程執(zhí)行代碼并破壞Active Directory帳戶。該漏洞包括3個問題：不受信任的Java反序列化、路徑遍歷和盲XML外部實體(XXE)注入,最終使得未經(jīng)身份驗證的攻擊者可利用組合漏洞進(jìn)行遠(yuǎn)程代碼執(zhí)行。

7、ThinkPHP遠(yuǎn)程代碼執(zhí)行

當(dāng)ThinkPHP開啟了多語言功能時，攻擊者可以通過lang參數(shù)和目錄穿越實現(xiàn)文件包含，當(dāng)存在其他擴(kuò)展模塊如 pear 擴(kuò)展時，攻擊者可進(jìn)一步利用文件包含實現(xiàn)遠(yuǎn)程代碼執(zhí)行。

8、CVE-2022-22965/CNNVD-202203-2642 Spring遠(yuǎn)程代碼執(zhí)行

該漏洞會影響在 JDK 9+ 上運(yùn)行的 Spring MVC 和 Spring WebFlux 應(yīng)用程序。具體的利用需要應(yīng)用程序作為 WAR 部署在 Tomcat 上運(yùn)行。如果應(yīng)用程序被部署為 Spring Boot 可執(zhí)行 jar，即默認(rèn)值，則它不易受到漏洞利用。

9、CVE-2022-0540/CNNVD-202204-3908 Atlassian Jira Seraph 身份驗證繞過漏洞

未經(jīng)身份驗證的遠(yuǎn)程攻擊者可利用Jira Seraph中的該漏洞，通過發(fā)送特制的HTTP 請求繞過身份驗證。

10、CVE-2022-1292 OpenSSL c_rehash 權(quán)限升級

c_rehash腳本沒有正確清理shell元字符以防止命令注入。此腳本由某些操作系統(tǒng)以自動執(zhí)行的方式分發(fā)。在此類操作系統(tǒng)上，攻擊者可以使用腳本權(quán)限執(zhí)行任意命令。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）