在9月到10月上半,我們關注到,攻擊者挖掘零時差漏洞並利用於攻擊行動的情況,似乎變得更嚴峻。我們特別統計了這方面的資訊,發現在這短短30多天,看到多達20個零時差漏洞已被用於攻擊行動的消息,平均下來,幾乎是快要每兩天就有1個零時差漏洞
釋出修補是當務之急,廠商與用戶都有責任
在這20個零時差漏洞攻擊中,除了導致的災情,修補的狀態仍是普遍企業關注焦點,我們從中整理出目前觀察到的現況。
一般而言,由於這些零時差漏洞攻擊涉及使用未知漏洞,因此大多數相關消息先聚焦在漏洞的通報,等到修補的釋出,再同時將未知漏洞公開,大多數零時差漏洞消息的曝光皆是如此。
特別的是,也有廠商選擇先公開揭露漏洞、提出緩解措施,後續才釋出更新修補。例如,思科在9月6日修補的零時差漏洞(CVE-2023-20269),就是先公告漏洞警訊並提出緩解措施,等到在9月27日發布暫時的修補更新,10月11日釋出新版正式修補。
另一種情形的處理順序剛好相反,例如,趨勢科技在9月19日公開揭露旗下產品的零時差漏洞(CVE-2023-41179),提醒已觀察到嘗試利用情形,但修補在這之前就已釋出。他們表示,受影響的Apex One SaaS在7月即修補,其他受影響產品,相關更新修補也在7月至9月12日之間陸續釋出。
是否因為攻擊嚴重性,而採取不同措施對予以應對?像是已經出現大規模攻擊,因此,需要先一步向外界示警、提出緩解,共同因應,或是為了掌握更多攻擊情資,要先暗中通知用戶更新修補,之後才對外公開。有些廠商會特別說明這部份考量,而有些不會,而且也不一定每次都表明,因此,外界也無法掌握這部份狀況。
還有一種情況,是因為上下游而導致修補時間被拉長。Google TAG小組曾經指出Android上的n-day漏洞問題,像是去年Arm公布修補一個漏洞,但Android系統修補該漏洞是隔年4月,這段期間,其實在Arm修補揭露的下一個月,就發現有駭客開始利用該漏洞。
也就是說,攻擊者可以利用已知的n-day漏洞,將其作為0-day來發動攻擊。
最近已有轉變,例如,在10月2日,Arm修補Mali GPU Driver的CVE-2023-4211漏洞,我們發現同日Android也修補,已在每月Android例行安全更新公告,說明修補同個漏洞。
儘管還有下游手機製造商是否會盡速修補的問題,但我們認為,如今至少縮短了上游供應商、平臺的修補時間差。
當然,更重要的是,用戶也要實際行動。否則只有廠商釋出修補,也示警攻擊者已經成功利用,但用戶裝作不知情、沒有去取得更新並修補,等於用戶沒有盡到自身之責。過去我們就看過很多例子,在廠商已經釋出修補後,資安研究人員發現網路上還是有很多設備存在曝險的情形。
要找出已被用於攻擊的未知漏洞,可能沒那麼容易
對於零時差漏洞的因應挑戰,我們從近期事件注意到一件事,有些漏洞利用的情形,其實並不容易追查出,即使發現攻擊行動可能利用某途徑,仍有可能數個月後才被廠商知曉、修補被濫用的漏洞根源。
例如,9月6日思科所示警並公布的漏洞CVE-2023-20269,揭露了起因是AAA協定與其他軟體功能缺乏適當區隔,並提及此漏洞是在解決思科技術支援案例時發現,也感謝Rapid7通報了漏洞利用的情形。另也說明,他們在8月已察覺外部有漏洞利用情況。
這個漏洞的CVSS評分為5.0,並不高,但其實,思科在8月24日的Cisco部落格上,就曾經表示察覺相關威脅報告,指出勒索軟體組織Akira鎖定未啟用MFA的思科VPN的情形。
甚至,向思科通報的資安業者Rapid7在8月29日指出,最早從今年3月30日,就觀察到針對思科ASA SSL VPN設備的攻擊活動,並確定至少11個企業在3月到8月間遇害。
而且,還有多家資安業者早就發現跡象,例如,Sophos在5月看到勒索軟體Akira的攻擊手法,疑似是針對尚未採用雙因素驗證的SSL VPN系統下手,惡意軟體分析員Aura與SentinelOne則是在8月確認,被針對的SSL VPN系統廠牌是思科。
換言之,這個零時差漏洞帶來的危害,可能已經長達半年之久。而並非我們可能想像的,一旦零時差漏洞被利用於攻擊行動,外界很快就可以發現並予以修補。
攻擊者挖掘利用的0-day,涉及上游或底層的情形增加
另一個關注焦點是,攻擊者利用零時差漏洞來發動攻擊,能透過一次行動就造成大規模的攻擊,因此愈受歡迎的品牌,通常愈容易被當做目標,包括微軟、蘋果、Google,還有各式企業使用的IT、網通設備產品等。
特別的是,我們發現最近攻擊者挖掘的零時差漏洞,不只上述Arm的零時差漏洞被攻擊者發現並利用,還有3個也是涉及上游或底層的狀況,是過去較少見的態勢。
例如,在9月11日Google修補的漏洞CVE-2023-4863,最初,這似乎只是瀏覽器中的漏洞,但隨著資安界不斷揭露新的資訊,大家才知道影響層面相當廣泛。
Google在修補此CVE-2023-4863時表示,其通報者是來自蘋果工程師與加拿大公民實驗室的專家。由於4日前,蘋果剛修補2個零時差漏洞,且加拿大公民實驗室同步揭露利用此漏洞組合的攻擊場景,因此當時我們立即聯想到,鎖定這個漏洞攻擊的幕後,可能是同樣的攻擊者在利用。
事實上,最近我們進行後續追蹤時,發現9月底有許多資安業者專家談起這次Pegasus間諜程式的漏洞利用,會將這3個漏洞一併相提。也有不少業者指出,蘋果修補的CVE-2023-41064,與Google發布的CVE-2023-4863是有關聯的。
關於CVE-2023-4863的討論很多,爭議在於,Google原本指出該漏洞是WebP圖像處理時的堆緩衝區溢漏洞,接著傳出所有支援WebP圖像處理的瀏覽器都受影響,後續,很多專家紛紛指出該漏洞影響深遠,因為這是存在WebP圖像處理的開源編解碼程式庫libwebp。
此外,Google在9月28日修補的零時差漏洞CVE-2023-5217,由於漏洞存在開源視訊編解碼程式庫libvpx中的VP8視訊編碼,儘管討論熱度不及上述libwebp漏洞,但同樣有需要廣泛修補的狀況。
另外還有一起零時差漏洞攻擊,10月10日,Cloudflare、Google與Amazon AWS公開揭露HTTP/2協定的零時差漏洞,這個被攻擊者用於發動巨量DDoS攻擊的漏洞,同樣影響層面不小。這些業者指出,任何部署HTTP/2的業者應該都會受此漏洞影響,大部分的網頁伺服器亦包含在內。
依據上述現況,攻擊者濫用零時差漏洞的目標,確實有往底層切入的態勢。
