漏洞利用啟示錄-漏洞修補慢一步,駭客就快十步!
近年來,企業因資安漏洞遭受重大損失的案例層出不窮,影響遍及各行各業。從微軟Exchange伺服器攻擊、醫療行業數據洩露到台積電供應商遭受勒索軟體攻擊,都凸顯了漏洞利用的嚴重性。這些事件不僅造成企業財務損失和聲譽損害,也影響了供應鏈穩定性和客戶信任。
隨著零日漏洞利用事件顯著增加,漏洞利用的速度加快讓駭客從發現漏洞到發動攻擊的時間大幅縮短,相對地嚴重壓縮了防守方的應變時間,**使得駭客更容易在不被察覺的情況下入侵得逞。**也因此誕生出”勒索即服務(Ransomware-as-a-Service, RaaS)的網路犯罪商業模式,比如RansomHub就是當前最知名的勒索軟體組織代表,於2024年初出現以來在極短的時間崛起,半年期間就有超過2百多個組織遭受毒害,台灣也有2家知名業者到RansomHub的侵駭。
面對漏洞利用的問題關鍵主要在於:漏洞修補與管理的延遲。進而致使企業資安暴露於高風險之中,因此企業在漏洞披露後的及時修補與管理已成為資安防護的關鍵。本文將聚焦於 2023 年最常見漏洞的利用影響,並探討應對這些威脅的核心策略。
由五大國聯合發布的漏洞利用研究報告
近期一份由美國、英國、加拿大、澳洲和紐西蘭的重要網路安全機構所共同發布的聯合報告<2023 Top Routinely Exploited Vulnerabilities>,針對2023年最常被利用的漏洞進行深入分析研究,提出非常值得學習的資安最佳實踐。與之前相比下,2023年針對零日漏洞的資安攻擊顯著增加,顯示出攻擊者策略與技術的精進,除了迅速針對新揭露的安全漏洞發起攻擊,還持續利用過去幾年已公開的重大漏洞,利用範圍涵蓋操作系統、應用程式、網絡設備,甚至供應鏈中的核心元件,以下我們將此份報告進行重點摘要說明。
關鍵的漏洞利用分析
事實上漏洞產生的速度非常的快,以最近一年(2023/7~2024/6)總共識別出19,754個漏洞,其中9.3%被列為嚴重漏洞、21.8%為高風險漏洞,數量極為驚人;此外根據Qualys報告指出2022年到2024年的漏洞年增長率為每年約30%,雖然只有0.91%的漏洞被武器化,不過這些被武器化的漏洞被利用之下往往對企業造成重大災害威脅。
為更清楚地了解漏洞在被利用後,對目標系統帶來的影響分類,此份報告共列出15個最常被利用的漏洞為案例分析,可以作為指標參考範本,以便快速評估漏洞對營運的潛在威脅,本整理根據攻擊者實際利用漏洞後導致的結果進行分類,例如遠端代碼執行(RCE)、特權提升(Privilege Escalation)等,而非僅根據漏洞的技術類型。這些攻擊模式通常涉及特定的技術和策略,從網路層、系統層、及社交工程層面著手,以下針對主要常見的4項攻擊模式說明。
1.遠端代碼執行(Remote Code Execution, RCE)
經由特定技術或攻擊步驟,允許攻擊者最終在目標系統上執行任意代碼,並完全掌控受駭設備,包含執行資料竊取、下載安裝惡意軟體以及改變系統配置等惡意行為。此類漏洞影響範圍廣且風險等級高,例如 :
CVE-2023-34362:此漏洞影響 Progress MOVEit Transfer 檔案傳輸服務。在該漏洞揭露之前,攻擊者已經利用該漏洞入侵多個組織的系統,根據iThome統計,在2023年共有超過2000個組織受駭,近9000萬人個資外流,並成為勒索軟體集團Clop用於資料竊取的重要利用手法。
CVE-2021-44228:又名 Log4Shell,為RCE漏洞的經典案例,Apache Log4j日誌框架系統的重大漏洞。因其應用範圍廣與利用門檻低,且許多企業可能不清楚組織內系統是否有依賴Log4j,導致漏洞修補工作緩慢,也因此至今仍被駭客廣泛利用。
2.權限提升(Privilege Escalation)
攻擊者可提升至更高層級的權限(如系統管理員),或是在相同權限層級下,濫用其他用戶的憑據或資源進行未授權存取。特權提升通常是駭客攻擊活動中的關鍵環節,用來擴大對系統的控制,例如取得內網控制權限或進行橫向移動,對於內網構成重大威脅,例如:
CVE-2023-23397:攻擊者可透過發送特製電子郵件,無需用戶點擊或互動,即可在 Microsoft Outlook 中自動觸發攻擊,竊取驗證資料,並冒充受害者執行未授權行為。俄羅斯駭客就利用這項Outlook重大漏洞,入侵波蘭、捷克與德國的企業組織與政府機關。
CVE-2020-1472:此漏洞允許未經授權的用戶繞過 Microsoft Netlogon 的身份驗證,無需帳密即可連接存在漏洞的 Windows Active Directory (AD),修改管理員密碼並獲取最高權限,進一步掌控整個網域內的設備。由於該漏洞利用難度低且影響範圍廣,因此被評為 CVSS 10.0 的最高風險等級。且許多系統仍未更新,該漏洞至今仍被廣泛利用。例如Rhysida 勒索軟體組織在2023年時,利用此漏洞滲透多個目標組織,進一步展開加密和勒索行動,對受駭組織造成嚴重影響。
3.身份驗證繞過(Authentication Bypass)
允許攻擊者可繞過系統身份驗證機制,在不需要輸入驗證資料的情況下,直接取得對資源或系統的未授權存取。此類型漏洞風險在於,可能被利用作為入侵目標系統的起點或是後續滲透的手段。
CVE-2023-20198:此漏洞允許未經授權的攻擊者通過 Cisco IOS XE 的網頁介面,新增具有最高權限的帳號,進而完全控制受影響的系統,並執行其他未經授權的惡意行動。此外,攻擊者還可藉由利用 CVE-2023-20273,進一步擴大對系統的滲透和控制範圍。也因此該漏洞的 CVSS 風險被評為 10 分。
4.資訊洩露(Information Disclosure)
未經授權的攻擊者可利用漏洞竊取敏感資訊,這些資訊可能包括加密的通訊內容、金鑰,或是隱藏於系統中的使用者帳號、驗證資料等機密資訊。攻擊手法可能涉及破解保護機制、攔截資訊傳輸,或偽造請求進行未授權存取。此類攻擊嚴重威脅系統的 機密性(Confidentiality),可能導致帳號被盜、驗證系統遭破壞,進而引發個資外洩、信用卡盜刷或服務中斷等重大風險。
CVE-2023-49103:此漏洞存在於 ownCloud 的 graphapi 應用中,攻擊者可利用該漏洞未經授權地存取敏感資訊。具體而言,graphapi 應用依賴第三方的 GetPhpInfo.php 庫,當訪問該 URL 時,會顯示 PHP 環境的配置詳情(phpinfo),其中包含網路伺服器的所有環境變數。在容器化部署中,這些環境變數可能包括敏感資料,如 ownCloud 管理員密碼、郵件伺服器憑證和許可證密鑰等,導致敏感資訊洩露。
CVE-2023-4966:此漏洞存在於 Citrix NetScaler ADC 和 NetScaler Gateway,可能導致敏感資訊洩露。攻擊者可透過特製請求竊取會話令牌,繞過多因子驗證(MFA),劫持合法用戶連線,最終控制系統。2023 年 LockBit 3.0 和 Medusa 等勒索軟體組織已利用此漏洞攻擊多家大型企業,包括中國工商銀行美國子公司、波音與 Toyota Financial Services,造成服務中斷及資料外洩等嚴重影響。
歸納總結
漏洞攻擊利用的模式非常多樣,並且有極大多數情況是採取複合式手法,比如上述提到的「遠端代碼執行(RCE)」多半會伴隨著「命令注入(Command Injection)」的組合搭配,進而對目標系統取得控制權以進行後續攻擊行動開展;又比如「身份驗證繞過」來說,則往往與不當訪問控制(Improper Access Control)有關。
Top 15 漏洞利用列表
漏洞編號 | 漏洞利用類型 | 漏洞說明 | 影響產品設備 |
CVE-2023-3519 | 緩衝區溢出 (Buffer Overflow) | 未經身份驗證的用戶通過HTTP GET請求,可導致NSPPE進程的堆疊緩衝區溢出。 | Citrix NetScaler ADC與NetScaler Gateway |
CVE-2023-4966 | 會話令牌洩漏 (Session Token Leakage) | 會話令牌洩漏,可能導致進一步攻擊。 | Citrix NetScaler ADC與NetScaler Gateway |
CVE-2023-20198 | 權限提升 (Privilege Escalation) | 未經授權的用戶可創建本地用戶並獲得正常用戶訪問權限。 | Cisco IOS XE Web UI |
CVE-2023-20273 | 命令注入 (Command Injection) | 已創建的本地用戶可通過命令注入漏洞提升至root權限。 | Cisco IOS XE Web UI |
CVE-2023-27997 | 緩衝區溢出 (Buffer Overflow) | 遠程攻擊者可利用特製請求觸發堆緩衝區溢出,執行任意代碼或命令。 | Fortinet FortiOS與FortiProxy SSL-VPN |
CVE-2023-34362 | SQL注入 (SQL Injection) | 利用SQL注入漏洞取得sysadmin API訪問令牌,並可進一步通過反序列化執行遠程代碼。 | Progress MOVEit Transfer |
CVE-2023-22515 | 不當訪問控制 (Improper Access Control) | 利用XWorks2中間件漏洞繞過訪問控制,創建新管理員用戶並上傳惡意插件執行代碼。 | Atlassian Confluence Data Center與Server |
CVE-2021-44228 | 遠程代碼執行 (Remote Code Execution) | 通過特製請求執行任意代碼,可進一步控制系統、竊取信息或發動勒索攻擊。 | Apache Log4j2 |
CVE-2023-2868 | 命令注入 (Command Injection) | 未授權用戶可利用Email Security Gateway漏洞執行系統命令。 | Barracuda Networks Email Security Gateway |
CVE-2022-47966 | 遠程代碼執行 (Remote Code Execution) | 未經身份驗證用戶可通過提交特製的samlResponse XML來執行任意代碼。 | Zoho ManageEngine相關產品 |
CVE-2023-27350 | 不當訪問控制 (Improper Access Control) | 攻擊者可利用身份驗證繞過漏洞並結合腳本功能執行代碼。 | PaperCut MF與NG |
CVE-2020-1472 | 權限提升 (Privilege Escalation) | 未經授權用戶利用Netlogon Remote Protocol漏洞提升至高權限。 | Microsoft Netlogon |
CVE-2023-42793 | 身份驗證繞過 (Authentication Bypass) | 利用身份驗證繞過漏洞攻擊TeamCity服務器,進一步執行遠程代碼。 | JetBrains TeamCity |
CVE-2023-23397 | 權限提升 (Privilege Escalation) | 特製電子郵件可觸發漏洞,無需用戶交互即可執行攻擊。 | Microsoft Office Outlook |
CVE-2023-49103 | 資訊洩露 (Information Disclosure) | 未經授權用戶可訪問敏感數據,如管理員密碼和郵件服務器憑據。 | ownCloud graphapi |
漏洞緩解策略與應對
根據Check Point Software 2024年網路安全報告顯示,69%的組織曾遭遇遠端程式碼執行(RCE)漏洞攻擊。Palo Alto Networks 2024年Unit 42 勒索軟體回顧報告也顯示,在 2023 年,利用軟體和 API 漏洞作為初始入侵手段的比例上升至 38.6%,較 2022 年的 28.2% 有明顯增長。這反映出,隨著數位化轉型和軟體應用的蓬勃發展,現代 IT 系統變得日益複雜。這種複雜性帶來了巨大的業務價值,但也讓漏洞管理成為前所未有的挑戰。為有效應對這些威脅,以下綜合整理報告中的緩解措施建議。
漏洞緩解措施建議
軟硬體盤點與資產管理
清楚掌握企業內部 IT 資產的現狀是提升安全性的第一步。透過建立資產可視性,企業能準確了解所有系統、應用程式和設備的版本、存取權限及用途,有效識別風險、優化資源分配,並快速應對漏洞威脅。軟體盤點能協助確認內部是否部署了受影響版本的協作工具,避免過時或未被管理的應用成為攻擊目標。
定期更新與修補漏洞
及時修補已知漏洞能有效減少攻擊風險,同時確保系統的穩定性與安全性。企業應制定系統化的漏洞修補流程,優先更新關鍵系統和應用程式。對於短期內無法修補的漏洞,臨時措施如限制存取權限或隔離高風險網段,可暫時降低風險。但從長遠來看,漏洞修補仍應是企業的首要任務,確保補丁及時部署以提升防禦能力並滿足合規要求。
實施多因子認證(MFA)
為了提升身份驗證的強度並降低未授權存取的風險,MFA 是不可或缺的措施。要求用戶提供兩種或以上的驗證方式(如密碼加手機驗證碼或生物特徵)能有效阻止釣魚攻擊、憑證填充和暴力破解,大幅減少單一憑證洩露帶來的威脅。同時,MFA 也是保護關鍵系統和敏感數據的基礎,幫助企業滿足資安合規需求。
部署端點偵測與響應工具(EDR)
端點偵測與響應工具能幫助企業資安人員即時監控和分析端點的可疑行為(如電腦和伺服器),快速識別異常並採取行動,以防止威脅擴大。即便系統未能及時更新,這些工具仍能監控未修補漏洞的攻擊行為,並快速啟用隔離等防護措施。考量到 EDR 可能產生大量告警,企業若內部資源有限,可考慮託管式偵測與響應(MDR),由專家團隊進行威脅分析與判斷,提升整體資安效率。
資安意識教育訓練
提升員工的資安意識是企業防禦能力的基礎。透過定期的教育訓練與模擬演練(如釣魚郵件測試),員工能更敏感於社交工程攻擊及系統漏洞風險,並強化遵守安全政策的意識。資安訓練不僅能降低因人為失誤引發的威脅,還能補足技術防護的不足,為企業營造更堅實的安全環境。
加強供應鏈安全管理
在攻擊者日益利用第三方漏洞滲透企業的情況下,供應商與開發商需要承擔起更多安全責任,確保他們的軟體和服務在設計、部署及維護過程中具備完善的安全機制。同時,企業也可與供應商協作,確認其資安能力並提升整體供應鏈的防護力。
供應鏈安全管理的核心在於提升透明性與建立完善的漏洞揭露機制,以降低漏洞對企業資安的影響。供應商與開發商應積極推動透明性管理,透過建立軟體物料清單(SBOM, Software Bill of Materials),掌握軟體的相依性與風險狀況。SBOM 的引入能幫助企業快速定位受影響的元件,優化漏洞修補流程,並提升面對供應鏈漏洞時的應對效率。
此外,供應商與開發商應具備完善的漏洞揭露機制,確保在發現漏洞後迅速通報影響範圍與修補計劃,並提供持續的進度更新。透過與企業及資安社群的合作,分享漏洞資訊與最佳實踐,不僅能促進行業間的協防,還能提升供應鏈的整體韌性與信任度。
WiZON Essential:助力企業全方位資安防護
隨著企業 IT 系統日益分散,內部應用、第三方服務與雲端資源的增長,資安挑戰也日益複雜。缺乏系統化的盤點與管理,企業難以全面掌握資產現狀,無法及時應對潛在風險。WiZON Essential 提供一套整合型的資安解決方案,涵蓋識別、防護與快速響應三大能力,幫助企業在事前、事中和事後全面提升資安韌性。
事前保障:WiZON Essential 包括資產管理與版本控管,協助企業建立全面的 IT 資產可視性。透過這些功能,企業可快速定位高風險資產,避免過時或受影響的系統成為攻擊入口。同時,WiZON Essential 支援自動化補丁管理工具,提升修補效率並減少遺漏風險。
事中響應:即時威脅偵測與響應是 WiZON Essential 的核心。透過分析告警與高風險威脅的精準識別,協助企業快速採取應對措施,防止攻擊擴散至關鍵系統。
事後復原:WiZON Essential 提供安全備份與彈性復原機制,確保企業能迅速恢復運行,降低因攻擊導致的業務中斷與損失。
WiZON Essential 不僅提供技術工具,更整合專家支援,幫助企業快速解讀威脅、制定應對策略,避免內部人力不足導致的風險升高。透過這套一站式資安解決方案,企業可專注於核心業務運營,提升整體競爭力與運營效率。
Comentarios