根據谷歌公司威脅分析小組去年7月發布的報告顯示，2022年全球共有41個0day漏洞被利用和披露。而研究人員普遍認為，2023年被利用的0Day漏洞數量會比2022年更高，這些危險的漏洞被廣泛用于商業間諜活動、網絡攻擊活動以及數據勒索攻擊等各種場合。本文收集整理了2023年十個最具破壞性的0Day攻擊事件。

1.Fortra GoAnywhere

CVE-2023-0669漏洞（CNNVD編號:CNNVD-202302-398）是2023年第一個導致大范圍勒索攻擊的MFT零日漏洞，它是Fortra GoAnywhere管理文件傳輸（MFT）產品中的一個預驗證命令注入漏洞。網絡安全記者Brian Krebs于2月2日首次報道了這個漏洞。而Fortra公司也在前一天向身份經過驗證的客戶發布了針對CVE-2023-0669漏洞的安全公告。

盡管該漏洞在2月7日就被修補，但直到3月14日，數據安全供應商Rubrik才完整披露了和GoAnywhere漏洞相關的泄密事件以及該漏洞的利用細節。同一天，Cloq勒索軟件團伙在其數據泄露網站上列出了與該零日漏洞有關的受害企業組織，包括Rubrik、寶潔、日立能源和Community Health Systems等100多家企業。

2.梭子魚電子郵件安全網關

2023年5月23日，梭子魚網絡披露了其電子郵件安全網關（ESG）設備中發現了一個0day漏洞，編號為CVE-2023-2868（CNNVD編號:CNNVD-202305-2128）。該公司表示，它于5月19日發現了該缺陷，并于第二天向所有設備發布了補丁。雖然最初的公告包含有關該漏洞的一些詳細信息，但有關該缺陷和相關攻擊的更多信息于次周曝光。

通過進一步調查發現，該遠程命令注入漏洞早在2022年10月就被利用了，攻擊者使用三種類型的惡意軟件獲得了部分ESG設備的持久后門訪問權限，進而從客戶網絡系統中竊取數據。為了修復漏洞，梭子魚為其客戶免費更換了受破壞的設備。

2023年6月15日，Mandiant報道稱，這些攻擊是由網絡間諜組織UNC4841發起的。威脅行為者修改了其惡意軟件，以防止有效修補并保持對受感染設備的持久訪問。美國聯邦調查局8月警告稱，黑客們仍在繼續利用這個漏洞。

3.Progress Software MoveIt Transfer

2023年5月31日，Progress Software公司披露并修補了MoveIt Transfer軟件中的SQL注入漏漏CVE-2023-34362（CNNVD編號:CNNVD-202306-110）。次日，Rapid7報告了零日漏洞被利用的活動，但幾天后情況開始惡化。

2023年6月4日，微軟威脅情報中心將MoveIt Transfer漏洞歸因Lace Tempest威脅分子，這伙人與Clop勒索軟件團伙有關。Mandiant也觀察到了該漏洞被大肆利用的活動，攻擊者闖入MoveIt Transfer實例，竊取客戶數據，受害者包括美國州和聯邦政府機構、英國航空公司、Extreme Networks和西門子能源公司。

就像針對Fortra GoAnywhere客戶的攻擊一樣，CVE-2023-34362漏洞攻擊者一心竊取數據，沒有在受害者的環境中部署勒索軟件。目前尚不清楚多少受害者支付了贖金，但攻擊范圍令人震驚。Emsisoft在2023年9月估計，Clop的數據竊取和勒索活動影響了全球2095家組織和超過6200萬人。

4.VMware Tools

2023年6月13日，VMware披露了一個影響ESXi虛擬機管理程序實例的低危漏洞。這個身份驗證繞過漏洞編號為CVE-2023-20867（CNNVD編號:CNNVD-202306-968），能夠讓受感染的ESXi主機上的攻擊者可以突破VMware Tools主機到訪客操作中的身份驗證檢查機制，最終危及虛擬機。

由于攻擊者需要對ESXi虛擬機管理程序獲得根訪問權限，CVE-2023-20867被賦予的CVSS v3分數僅為3.9分，不過Mandiant公司披露，一個名為UNC3886的網絡間諜威脅組織利用了VMware Tools的漏洞，該組織在2022年就利用惡意軟件系列攻擊了ESXi主機。

在最近的攻擊中，該網絡間諜組織的目標是美國和亞太地區的國防、技術和電信組織。Mandiant稱這些攻擊者非常老練，他們利用了VMware 0day漏洞，從ESXi主機上的訪客虛擬機執行特權命令，同時部署了持久的后門。這些攻擊表明，一些CVSS分數較低的漏洞也可以被威脅分子用來造成重大破壞。

5.微軟Windows和Office

2023年，微軟產品曝出的最嚴重漏洞之一就是CVE-2023-36884（CNNVD編號:CNNVD-202307-797），這是Windows搜索工具中的遠程代碼執行（RCE）漏洞。該漏洞是在微軟7月發布的周二補丁日中首次披露的，主要影響了Windows和Office軟件。

與其他的微軟漏洞相比，CVE-2023-36884漏洞主要有兩大特點：首先，RCE漏洞在披露時沒有補丁，微軟僅提供了緩解措施以防止被利用，該漏洞一直到8月的周二補丁日才得到修復；其次，某東歐地區的網絡犯罪組織將CVE-2023-36884用于側重間諜的網絡釣魚活動以及出于牟利的勒索軟件攻擊。據微軟報告，該組織的攻擊目標是北美和歐洲的國防組織和政府實體。攻擊者利用CVE-2023-36884繞過微軟的MotW安全功能，該功能通常阻止惡意鏈接和附件。

6.WebP / Libwebp

2023年9月11日，谷歌針對其開發的圖像格式WebP中一個嚴重的堆緩沖區溢出漏洞發布了緊急補丁。這個零日漏洞編號為CVE-2023-4863（CNNVD編號:CNNVD-202309-784），允許遠程攻擊者通過惡意WebP圖像執行越界內存寫入。

這個漏洞不僅僅影響谷歌的Chrome瀏覽器，同時還因影響所有支持WebP格式的瀏覽器，因此微軟、蘋果和Mozilla等公司也陸續發布了瀏覽器版本更新。更多細節顯示，雖然谷歌最初稱其為是WebP的缺陷，但安全研究人員指出，這個問題其實存在于開源Libwebp庫中。

讓事情變得更加復雜的是，Cloudflare等一些網絡安全公司認為，CVE-2023-4863與Apple ImageI/O框架中的另一個0day堆緩沖區溢出漏洞之間存在相似之處，該漏洞在9月7日被披露和修補，并被追蹤為CVE-2023-41064。研究人員發現，該漏洞已被商業間諜軟件供應商NSOGroup的零點擊攻擊武器化。

7.蘋果iOS和iPadOS

蘋果在2023年也曝出了0day漏洞，特別是9月21日披露的iOS和iPadOS中的三個漏洞尤為突出。這些漏洞包括：CVE-2023-41992（操作系統內核中的特權提升漏洞，CNNVD編號為CNNVD-202309-2064）、CVE- 2023-41991（讓攻擊者可以繞過簽名驗證的安全漏洞,CNNVD編號為CNNVD-202309-2065）以及CVE-2023-41993（蘋果的WebKit瀏覽器引擎中導致代碼任意執行的漏洞,CNNVD編號為CNNVD-202309-2063）。這些漏洞被用在一條漏洞鏈中，用于投放商監視供應商Cytrox的間諜軟件產品Predator。埃及議會前議員Ahmed Eltantawy在2023年5月至9月期間成為了Predator間諜軟件的目標。研究人員調查了其手機上的活動，發現手機感染了Predator間諜軟件。

8.Atlassian Confluence

10月4日，Atlassian公司披露并修補了其Confluence數據中心和服務器產品中的一個0day漏洞。該漏洞編號為CVE-2023-22515（CNNVD編號:CNNVD-202310-278），最初是特權提升漏洞，影響Confluence工作空間套件的自托管版本。Atlassian表示這是一個非常嚴重的漏洞，并給這個零日漏洞賦予10分的CVSS分數。

目前不清楚有多少Atlassian客戶受到了該漏洞的攻擊，也不清楚攻擊者針對哪些類型的組織。Atlassian敦促所有客戶立即更新Confluence實例，或者將高危版本與公共互聯網隔離，直到可以正確地打上補丁。

9.思杰NetScaler ADC和NetScaler網關

2023年10月10日，思杰公司修復了兩個影響多個版本NetScaler ADC和NetScaler網關的安全漏洞，其中一個是敏感信息泄露漏洞，編號為CVE-2023-4966（CNNVD編號:CNNVD-202310-666），它被網絡安全專業人士認為是Citrix Bleed的最嚴重漏洞之一。

Mandiant調查發現，自8月以來就觀察到牽涉CitrixBleed的攻擊活動，主要針對政府和技術組織。威脅分子劫持高危設備的身份驗證會話，從而得以繞過MFA和其他身份驗證檢查機制。更令人擔憂的是，即使修復了CVE-2023-4966，這些被劫持的會話仍可能被威脅分子濫用，因此建議客戶除了安裝補丁外，還應該采取另外的緩解措施。

利用該零日漏洞的活動在11月仍在繼續。CISA和FBI在聯合報告中就LockBit攻擊發出了安全警告，他們預計還將會看到該漏洞被大肆利用的現象。

10.思科IOS XE

2023年10月16日，思科公司發布了IOS XE軟件中關鍵零日漏洞CVE-2023-20198（CNNVD編號:CNNVD-202310-1209）的安全公告。該零日漏洞影響所有啟用了Web用戶界面功能的IOS XE版本。遠程攻擊者可以利用該漏洞，針對運行該軟件的設備獲得最高訪問權限。由于披露時還未發布補丁，因此思科公司建議客戶立即禁用所有高危系統的HTTP服務器功能。

研究人員表示，攻擊者最早從9月18日起就開始利用漏洞，一連串攻擊由同一伙身份不明的威脅分子實施。攻擊者利用了漏洞在中招的設備上部署了名為BadCandy的植入軟件。10月22日，思科發布了針對CVE-2023-20198以及第二個相關漏洞CVE-2023-20273的安全補丁。由于該漏洞已經被較廣泛利用，思科敦促所有客戶立刻部署補丁，并采取建議的緩解措施。

參考鏈接：https://www.techtarget.com/searchsecurity/feature/10-of-the-biggest-zero-day-attacks-of-2023