GreyNoise 已確認，在黑帽勒索軟件組織 Black Basta 的內部聊天記錄中提到的 62 個漏洞中，有 23 個正在被積極利用。這些漏洞涉及企業軟件、安全設備和廣泛部署的 Web 應用程序，其中多個關鍵漏洞在過去的 24 小時內已被利用。

這一發現凸顯了攻擊者對已知漏洞的持續利用，即便是那些未被納入 CISA 已知被利用漏洞（KEV）目錄的漏洞也不例外。最初由網絡安全公司 VulnCheck 整理泄露的聊天記錄，為外界提供了一個難得的窗口，了解了勒索軟件運營商優先利用的漏洞情況。

聊天記錄中的 CVE 列表（由 Vulncheck 整理）：

零日漏洞利用的近期激增

GreyNoise 的全局網絡監測數據表明，23 個 CVE 已被積極利用，其中包括 Palo Alto Networks PAN-OS、Cisco IOS XE 和 Microsoft Exchange Server 中的高危漏洞。值得注意的是，WordPress 插件“Post SMTP Mailer”的一個缺失授權漏洞（CVE-2023-6875）盡管未被列入 KEV 目錄，但仍被利用，這凸顯了靜態漏洞列表的局限性。

攻擊者的行動速度令人擔憂，僅在過去的 24 小時內就有 12 個 CVE 被利用，包括：

• CVE-2024-3400（Palo Alto PAN-OS 命令注入）
• CVE-2024-27198（JetBrains TeamCity 認證繞過）
• CVE-2023-20198（Cisco IOS XE 權限提升）
• CVE-2022-41082（Microsoft Exchange 遠程代碼執行）

關鍵設備和平臺的高危漏洞

Palo Alto、Cisco 和 Juniper 的網絡設備在漏洞利用列表中占據主導地位。例如，Palo Alto 的 PAN-OS 中的命令注入漏洞（CVE-2024-3400）允許未經驗證的攻擊者以 root 權限執行任意代碼。類似地，Cisco IOS XE Web UI 中的漏洞（CVE-2023-20198）再次成為攻擊目標，允許攻擊者創建特權賬戶并部署惡意植入程序。

Juniper Junos OS 的漏洞（CVE-2023-36845 和 CVE-2023-36844）通過 PHP 變量操縱繼續被利用，從而在 EX 系列交換機上實現遠程代碼執行。這些攻擊通常發生在企業網絡橫向移動之前。

此外，高流量 Web 平臺仍然脆弱，例如 Atlassian Confluence 的訪問控制繞過漏洞（CVE-2023-22515）和遠程代碼執行漏洞（CVE-2022-26134）正被積極利用。微軟 Exchange Server 的漏洞（如 CVE-2021-26855 和 CVE-2022-41082）持續出現在攻擊者的劇本中，用于滲透郵箱和入侵服務器。

此外，CVE-2021-44228（Log4Shell）的再次出現，凸顯了消除這一普遍存在的日志庫漏洞的挑戰。

攻擊企圖

GreyNoise 觀察到，針對未修補的物聯網和企業系統中 Log4j 實例的掃描活動再次升溫。

GreyNoise 的 24 小時活動快照顯示，攻擊者正集中針對以下漏洞：

• CVE-2024-24919：Check Point Quantum 安全網關信息泄露
• CVE-2023-4966：Citrix NetScaler ADC 緩沖區溢出（Citrix Bleed）
• CVE-2022-30525：Zyxel 防火墻 OS 命令注入

這些漏洞利用通常為勒索軟件的部署鋪路，攻擊者利用初始訪問權限禁用安全工具并竊取數據。特別是 ConnectWise ScreenConnect 的漏洞（CVE-2024-1709）已被廣泛利用，攻擊者通過認證繞過植入遠程訪問木馬。

防御建議與總結

盡管及時打補丁至關重要，但 CVE-2023-6875 未列入 KEV 目錄的事實表明，實時威脅情報的必要性。GreyNoise 建議：

• 網絡分段：隔離面向互聯網的系統，如 Exchange 服務器和 VPN 網關。
• 行為監控：檢測異常的進程創建和可疑的認證模式。
• 安全評估：利用 GreyNoise 數據集中的指標（IoCs）搜尋與 23 個 CVE 相關的利用痕跡。

隨著勒索軟件組織逐漸自動化漏洞利用過程，持續監控和基礎設施加固已成為現代網絡安全計劃中不可或缺的一部分。