2024年,网络安全领域接连曝出了一系列高危漏洞,这些漏洞不仅影响范围广泛,而且破坏力极大,对全球的网络安全构成了严峻挑战。以下是我们从今年的安全漏洞应急中总结出的一些颇具危害性和影响力的网络安全漏洞,排名不分先后,当然,我们也从Seebug漏洞平台访问数据和ZoomEye网络空间搜索引擎对应搜索出来的受影响量级中筛选出了排名相对靠前的漏洞,附在文末供大家参考。通过回顾这些漏洞,我们也能在今后的工作中对网络安全漏洞有更加深刻的认识和分析。
CVE编号:CVE-2024-3094
CVSS评分:10分
XZ-Utils 是一个广泛用于处理 .xz 文件的套件,包含 liblzma 和 xz 等组件,已集成在 Debian、Ubuntu、CentOS 等发行版仓库中。2024年3月29日国外安全人员宣称在XZ-Utils软件包从版本5.6.0到5.6.1开始,存在被供应链攻击并植入后门风险(https://www.openwall.com/lists/oss-security/2024/03/29/4),该后门可能会允许恶意行为者破坏sshd身份验证,从而允许对整个系统进行远程未经授权的访问。由于库的使用十分广泛,因此该漏洞的严重性对整个Linux生态系统构成了威胁。
相关阅读:
xz 开源攻击时间线梳理(https://paper.seebug.org/3164/)
xz-utils 后门漏洞 CVE-2024-3094 分析(https://paper.seebug.org/3139/)
流行 Linux 压缩工具 XZ 被植入史诗级后门(https://hackernews.cc/archives/51234)
Binarly 紧急发布 Linux 后门扫描工具(https://hackernews.cc/archives/51281)
黑哥点评:
2024年,XZ-Utils供应链后门事件无疑是影响最为深远的漏洞事件之一。近年来,越来越多的攻击者——其中不乏具有APT背景的组织——将目光投向了开发者社区,尤其是那些活跃的三方开源项目及其开发者。他们的目标很明确:通过渗透这些项目,发动供应链攻击,从而实现更大范围的威胁布局。这种攻击方式已经成为近年来网络安全领域的一个显著趋势。
然而,XZ-Utils事件在众多攻击案例中显得尤为复杂和隐蔽。据推测,攻击者从创建自己的GitHub账号并逐步渗透到XZ项目维护团队,前后可能经历了长达3年的精心布局。在此期间,攻击者不仅通过技术手段潜入项目,还利用项目开发者存在的心理健康问题,实施了“PUA攻击”(心理操控攻击),最终成功获取了项目的实际控制权,并开始部署后门漏洞代码,将其推送至Linux生态系统。幸运的是,攻击者编写的恶意代码意外触发了一个bug,导致事件曝光,从而避免了更严重的损失。
此次事件不仅在攻击过程上极具代表性,其后门部署的技术手段也值得深入剖析。然而,当我们深入思考时,不禁感到一丝后怕:如果当时没有这个意外的bug,后果将不堪设想。此外,我们还必须警惕:是否还有其他开源组件已经或可能被植入后门?开源是否真的等同于安全?开发者是否会成为攻击的目标,甚至开发者自身是否存在作恶的可能性?
XZ-Utils供应链后门事件为我们敲响了警钟,带来了诸多值得深思的问题,也提醒我们必须重新审视开源生态的安全性,以及开发者在其中的角色和责任。
CVE编号:CVE-2024-4577
CVSS评分:9.8分
该漏洞源于在特定条件下,Windows系统使用“Best-Fit”行为替换命令行中的字符,这可能导致PHP CGI模块错误地将这些字符解释为PHP选项,从而泄露脚本的源代码,在服务器上运行任意PHP代码等。受影响的版本为:8.1至8.1.29之前版本,8.3至8.3.8之前版本,8.2至8.2.20之前版本。
由于其可利用性高,在漏洞公开披露后,很快就有威胁行为者利用该漏洞进行攻击,如 Tellyouthepass 勒索软件攻击者利用 CVE-2024-4577 分发文件加密恶意软件的.NET 变体,还被用于提供远程访问特洛伊木马、加密货币矿工和DDoS僵尸网络等。
相关阅读:
https://www.seebug.org/vuldb/ssvid-99846
“TellYouThePass”勒索软件活动利用 PHP 漏洞(https://hackernews.cc/archives/53126)
黑哥点评:
从实际影响来看,CVE-2024-4577的影响力或许并没有最初预期的那么广泛,毕竟该漏洞的利用条件相对较多。然而,由于XAMPP Windows版本默认受到该漏洞影响,这使得其潜在影响范围依然较大。此外,由于漏洞利用过程相对简单,它自然受到了勒索软件组织的青睐。根据ZoomEye的数据分析,从漏洞公开到勒索攻击的出现,仅用了两天时间。这充分展现了勒索组织的高效执行力。
从技术角度来看,CVE-2024-4577极具研究价值,其核心在于Windows系统中不同语言编码所引发的安全问题。漏洞发现者在Black Hat Europe 2024上对此进行了详细分析。这一漏洞也让我想起了10多年前因字符集问题引发的经典漏洞。
事实上,2024年还出现了一个与PHP字符集相关的漏洞:Linux GLIBC库中的iconv缓冲区溢出漏洞(CVE-2024-2961),同样值得关注。关于该漏洞的详细技术分析,可以参考以下链接:
关于 CVE-2024-2961 glibc iconv exploitation (part 2) 注解(https://paper.seebug.org/3191/)
CVE编号:CVE-2024-6387
CVSS评分:8.1分
该漏洞也被称为 RegreSSHion,影响基于 glibc 的 Linux 系统上的 OpenSSH 服务器,影响版本为 OpenSSH 8.5p1 到 9.8p1 之间。未经身份验证的远程攻击者可以利用此漏洞在基于 glibc 的 Linux 系统上以 root 身份执行任意代码,从而完全控制受影响的系统,可能导致系统数据泄露、篡改、被植入恶意软件等严重后果。
相关阅读:
数百万 OpenSSH 服务器可能遭受远程 regreSSHion 攻击(CVE-2024-6387)(https://hackernews.cc/archives/53516)
黑哥点评:
从实际影响来看,OpenSSH漏洞(CVE-2024-6387)的利用条件相对复杂,攻击者可能需要数小时甚至数天才能成功触发利用。然而,这并不妨碍该漏洞在2024年成为备受关注的漏洞之一。这是近20年来首次发现OpenSSH存在远程代码执行漏洞,且在理论和实验室环境中确实存在成功利用的可能。一旦利用成功,攻击者将直接获得服务器控制权,尤其是对于某些关键基础设施服务器而言,SSH可能成为唯一的突破口。因此,该漏洞曝光后迅速引起了社区的广泛关注。据Qualys报告,OpenSSH Bugzilla社区曾出现过与sshd的SIGALRM处理器死锁相关的报告,这引发了对漏洞实际利用的怀疑,但后续未见更多相关利用报告。
在2024年,另一个备受关注的漏洞是Windows Server远程桌面许可服务远程代码执行漏洞(CVE-2024-38077)。由于该漏洞涉及3389端口,且当时发布了相关漏洞视频,引起了广泛的关注。然而,该漏洞的利用条件较为苛刻,需要远程桌面许可服务(RDL)开启,这在一定程度上限制了其影响范围。
CVE编号:CVE-2024-0012、CVE-2024-9474、CVE-2024-3400
CVE-2024-0012为Palo Alto Networks PAN-OS中的身份验证绕过漏洞,而CVE-2024-9474则是远程代码执行漏洞,二者可以联合使用,潜在地允许攻击者在目标系统上执行恶意代码。
CVE-2024-3400为Palo Alto Networks PAN-OS 的 GlobalProtect 功能中的命令注入漏洞,攻击者可以对运行该系统的设备进行未授权 RCE,并且拿到系统的 root 权限。该漏洞CVSS评分为10分,被描述为“核弹级”漏洞。
相关阅读:
不明黑客利用 0day 漏洞对 Palo Alto Networks 防火墙进行后门攻击(https://hackernews.cc/archives/51615)
Palo Alto Networks披露 PAN-OS 防火墙“满分”漏洞细节(https://hackernews.cc/archives/51894)
TAG-100:未知黑客组织利用开源工具进行疑似网络间谍攻击活动(https://hackernews.cc/archives/53852)
Palo Alto Networks 确认 0day 漏洞正在被黑客利用(https://hackernews.cc/archives/56137)
CVE编号:CVE-2024-20399
CVSS评分:9.8分
该漏洞源于 NX-OS 命令行接口中传递给特定配置命令的参数验证不足。具有管理访问权限的攻击者可以通过在这些命令中制作恶意输入来利用这一点。这个漏洞可能允许具有管理凭据的攻击者在底层操作系统上执行具有最高权限的命令,从而可能导致完全接管受影响的设备。
相关阅读:
可获 root 权限,思科 NX-OS 零日漏洞修复已发布(https://hackernews.cc/archives/53540)
“Velvet Ant”黑客利用 0day 漏洞在思科 Nexus 交换机上部署恶意软件(https://hackernews.cc/archives/54966)
CVE编号:CVE-2024-47575、CVE-2024-21762
CVE-2024-47575 漏洞源于 FortiManager 的 fgfmsd 守护程序中对管理功能的身份验证不足,在 fgfmsd 服务处理 FortiManager 与 FortiGate 设备之间的通信时,未对关键功能进行充分的身份验证。未经身份验证的远程攻击者可以通过发送特制的请求,绕过访问控制,在 FortiManager 系统上执行任意命令或代码,可能导致配置文件被篡改、敏感信息泄露,如管理的 FortiGate 设备的哈希密码等,进而使攻击者能够在网络中进行横向移动,扩大攻击范围,对整个网络安全造成严重威胁。
CVE-2024-21762是Fortinet FortiOS 在 SSL VPN 组件中的越界写入漏洞,未经身份验证的远程攻击者可以通过向启用了 SSL VPN 的易受攻击设备发送特制的 HTTP 请求来利用此漏洞,可能导致在设备上远程执行代码或命令,进而获取设备的控制权,访问、篡改或删除敏感数据。
相关阅读:
https://www.seebug.org/vuldb/ssvid-99898
CVE-2024-21762 FortiOS 内存越界写导致 RCE 漏洞分析(https://paper.seebug.org/3153/)
CVE编号:CVE-2023-46805、CVE-2024-21887
Ivanti Connect Secure 和 Ivanti Policy Secure 中存在一个身份验证绕过漏洞(CVE-2023-46805)和一个命令注入漏洞(CVE-2024-21887),未经身份验证的威胁者可组合利用这两个漏洞导致远程代码执行,无需身份验证即可在目标设备上执行任意命令。自 2024 年 1 月 11 日开始,多个威胁组织在大范围攻击中利用这两个漏洞。
相关阅读:
https://www.seebug.org/vuldb/ssvid-99800
Mandiant 报告:Ivanti 0day 漏洞被未明确归属的 APT 组织用来部署后门(https://hackernews.cc/archives/49091)
美国采取安全措施:48 小时内所有 Ivanti 产品必须离线(https://hackernews.cc/archives/49790)
黑哥点评:
从上述几个漏洞来看,网络设备领域的安全问题依然是近年来的焦点之一。继供应链安全问题之后,网络设备漏洞已成为当前网络安全领域的又一重要方向。这些漏洞不仅频繁出现在实际攻击中,还逐渐成为主流攻击入口,尤其在边界设备、VPN以及安全设备方面表现得尤为突出。从2024年的情况来看,网络设备漏洞占据了相当大的比例,且这种趋势在2025年可能会进一步延续。就在前几天,2025年的第一个在野漏洞——Ivanti Connect Secure远程代码执行漏洞(CVE-2025-0282)被曝光,这再次凸显了网络设备领域所面临的严峻挑战。
CVE编号:CVE-2024-48063
CVSS评分:9.8分
PyTorch 是一个开源的深度学习框架,广泛用于机器学习和人工智能领域。PyTorch 2.4.1 及之前版本的分布式 RPC 框架中存在反序列化漏洞。由于 RemoteModule 在反序列化过程中没有适当地验证或清理输入数据,导致攻击者可以通过客户端将包含恶意方法的 RemoteModule 实例序列化为数据,并通过 RPC 框架发送到服务器触发反序列化,从而可能导致在服务器上远程执行任意命令。
相关阅读:
https://www.seebug.org/vuldb/ssvid-99892
黑哥点评:
单独看这个漏洞的实际影响及技术含量实际上是很难入选年度漏洞榜单的,之所以入选很大程度上是因为这个是大模型AI领域的漏洞,随着大模型时代的到来,大模型相关的开源组件也成为了新的安全漏洞挖掘目标,例如,在2024年,llama.cpp中的CVE-2024-34359漏洞允许攻击者通过滥用Jinja2模板引擎实现任意代码执行,影响了Hugging Face上超过6000个AI模型。此外,PyTorch还曝出了CVE-2024-5480漏洞,攻击者可利用漏洞实现远程代码执行。
这些漏洞不仅凸显了大模型时代下AI系统的安全风险,也反映了软件供应链安全面临的严峻挑战。随着AI技术的广泛应用,相关安全问题可能会在2025年继续成为网络安全领域的重点关注对象。
CVE编号:CVE-2024-38812
CVSS评分:9.8分
VMware vCenter Server 在 DCE/RPC 协议实施过程中存在堆溢出问题,由于对输入数据验证不当,恶意行为者可能会通过发送特制的网络数据包来触发此漏洞,从而可能导致远程代码执行,进而可能获取服务器的完全控制权,访问、篡改或删除敏感数据,对整个虚拟化环境造成严重破坏,影响企业的业务运营。
相关阅读:
VMware vCenter Server 漏洞让攻击者能够执行远程代码(https://hackernews.cc/archives/55501)
VMware vCenter Server 远程代码执行漏洞正被黑客广泛利用(https://hackernews.cc/archives/56141)
黑哥点评:
这个漏洞给我留下了深刻的印象。它最初是在某次比赛中被报告的,随后官方在2024年9月发布了补丁,但未能彻底修复漏洞。因此,在2024年10月,官方不得不再次发布补丁以完成修复。更令人关注的是,此后还有人在“暗网”上出售与该漏洞相关的利用程序。这种行为不仅凸显了漏洞的潜在价值,也反映出网络安全领域中漏洞交易的复杂性和危险性。
“0day In the Wild”是由Google Project Zero发起的一个项目,旨在统计每年出现的在野0day漏洞。以下是2024年记录的部分在野0day漏洞:
CVE-2024-0519 Google Chrome 类型混淆漏洞
CVE-2024-23222 Apple WebKit 混乱漏洞
CVE-2024-23225 Apple iOS 内核内存损坏漏洞
CVE-2024-23296 Apple iPadOS RTKit 漏洞
CVE-2024-21338 Windows 管理员到内核的权限提升漏洞
CVE-2024-29745 Android Pixel 信息泄露漏洞
CVE-2024-29748 Android Pixel 权限升级漏洞
CVE-2024-4671 Google Chrome 内存释放后使用漏洞
CVE-2024-4761 Google Chrome 浏览器越界写入漏洞
CVE-2024-4947 Google Chrome V8 权限升级漏洞
CVE-2024-30051 Windows 权限提升漏洞
CVE-2024-5274 Google Chrome V8 类型混淆漏洞
CVE-2024-4610 Arm Mali GPU 驱动程序使用后释放漏洞
CVE-2024-38080 Windows Hyper-V 特权提升漏洞
CVE-2024-36971 Linux 内核网络路由管理中的使用后释放漏洞
CVE-2024-38178 Internet Explorer 脚本引擎内存损坏漏洞
CVE-2024-38106 Windows 内核特权提升漏洞
CVE-2024-38193 Windows WinSock 辅助功能驱动程序特权提升漏洞
CVE-2024-38107 Windows Power Dependency Coordinator 特权提升漏洞
CVE-2024-38189 Microsoft Project 远程代码执行漏洞
CVE-2024-7971 Google Chrome V8 类型混淆漏洞
CVE-2024-7965 Google Chrome V8 实现不当漏洞
CVE-2024-7262 WPS Office 远程代码执行漏洞
CVE-2024-9680 Mozilla Firefox UAF 代码执行漏洞
CVE-2024-43047 高通 DSP 服务使用后释放漏洞
CVE-2024-44068 Samsung Mobile Processor 安全漏洞
CVE-2024-49039 Windows 任务计划程序特权提升漏洞
CVE-2024-44308 Apple Safari JavaScriptCore 远程代码执行漏洞
CVE-2024-44309 Apple 多款产品跨站脚本漏洞
CVE-2024-49138 Windows 通用日志文件系统驱动程序漏洞
黑哥点评:
实际上,这个Project Zero的漏洞数据是我特意加入的。往年我们也会引用这些数据,这可以说是一个“保留节目”。每年总结漏洞TOP 10其实并不容易,因为每个人或每个组织的视角都不尽相同。例如,Project Zero统计的在野0day漏洞列表,就与Project Zero团队的视角密切相关。从这些统计数据可以看出,这些漏洞大多属于客户端漏洞利用链中的关键环节,以PC端或移动端为攻击入口,再通过操作系统的权限提升漏洞,实现完整的漏洞利用链。从2024年的统计数据来看,客户端攻击的数量仍然较高,这让我有些意外。
为了完成这个TOP 10的内容,我们做了一些统计工作。由于大家的视角各不相同,反馈的结果也各有差异,附录是具体的统计结果。
将知道创宇404实验室在2024年进行安全应急的漏洞,按ZoomEye搜索的影响量进行排名,其中前10的漏洞为:
Oracle WebLogic Server 反序列化漏洞(CVE-2024-21216)
Oracle WebLogic Server 存在远程代码执行漏洞(CVE-2024-21006)
Apache Struts 目录遍历导致文件上传RCE漏洞(CVE-2024-53677)
Confluence 未授权远程代码执行(CVE-2023-22527)
Ivanti Connect Secure SSRF to RCE(CVE-2024-21893)
CyberPanel 未授权RCE 漏洞(CVE-2024-51567)
D-Link NAS 命令注入(CVE-2024-10914,CVE-2024-10915)
D-Link NAS 未授权 RCE(CVE-2024-3273)
E-cology10 远程代码执行漏洞
Zyxel NAS326 & NAS542 命令注入漏洞(CVE-2024-29973)
Seebug漏洞平台2024年收录的漏洞中,点击量排名前10的漏洞为:
CrushFTP 认证绕过漏洞(CVE-2024-4040)
Zabbix 后台延时注入(CVE-2024-22120)
Apache HugeGraph-Server Command Execution In Gremlin(CVE-2024-27348)
Rejetto HFS 远程命令执行漏洞(CVE-2024-39943)
Zyxel 多款 VPN 防火墙未授权远程命令执行漏洞(CVE-2023-33012)
Sonatype Nexus Repository 3路径遍历漏洞(CVE-2024-4956)
Mura/Masa CMS SQL 注入漏洞( CVE-2024-32640)
QNAP QTS 溢出导致的未授权 RCE 漏洞(CVE-2024-27130)
D-LINK DIR-X4860未授权 RCE漏洞
WordPress-XStore-Core-Plugin-SQL-Injection(CVE-2024-33551)
当然,大模型时代怎么能少了GPT的统计呢?GPT统计出在野外被积极利用,对各种系统和平台构成了重大威胁的10大漏洞:
CVE-2024-43451 影响Windows系统的零日漏洞
CVE-2024-0012 Palo Alto Networks' PAN-OS中的关键漏洞(认证绕过)
CVE-2024-9474 Palo Alto Networks' PAN-OS中的关键漏洞(权限提升)
CVE-2024-11680 ProjectSend中的不当认证漏洞
CVE-2024-38193 Windows中的关键零日漏洞
CVE-2024-7971 Google Chrome V8 JavaScript引擎中的类型混淆漏洞
CVE-2024-36971 Android中的高危零日漏洞
CVE-2024-44068 Samsung设备中的释放后使用漏洞
CVE-2024-3094 XZ Utils中的后门
BeyondTrust Vulnerabilities BeyondTrust软件中的多个漏洞
GPT统计出2024年最值得关注的10个网络安全漏洞:
CVE-2024-3094 在XZ Utils中发现的重大后门
CVE-2024-21762 Fortinet的FortiOS和FortiProxy软件中的越界写入漏洞
CVE-2024-55591 FortiOS和FortiProxy中的认证绕过漏洞
CVE-2024-44243 允许攻击者绕过系统完整性保护(SIP)的macOS漏洞
CVE-2024-38189 Microsoft Project中的关键远程代码执行漏洞
CVE-2024-6387 被称为“RegreSSHion”的OpenSSH漏洞,允许远程未认证代码执行
CVE-2024-12356 and CVE-2024-12686 被利用的BeyondTrust远程技术支持软件中的漏洞
CVE-2024-32896 影响包括三星手机在内的Android设备的重大漏洞
CVE-2024-36971 被黑客积极利用的Android零日漏洞
CVE-2024-55550 Mitel MiCollab中的路径遍历漏洞
这些只是冰山一角,还有无数潜在的网络安全漏洞潜伏在各个系统深处。我们必须时刻保持高度警惕,练就敏锐的洞察力,及时发现并精准识别这些潜藏的漏洞,不给网络犯罪分子留下可乘之机,全力守护网络空间的安全与稳定。
如有侵权请联系:admin#unsafe.sh