国产软件相关的漏洞在总体漏洞中占比不高,但由于在国内的流行度高,在国内触发的实际威胁非常 明显,国产软件中的漏洞挖掘值得投入。
有50%左右发现在野利用的0day漏洞没有监测到公开的利用代码,处于私有状态,仅被某些APT组织 或者个人使用,可能用于高度定向、高价值目标、隐蔽性和供应链等攻击。
奇安信CERT在2023年推荐必修漏洞共360个。
2023年新增的28975个漏洞中,有715个漏洞在NVD上没有相应的CVE编号,未被国外漏 洞库收录,为国产软件漏洞。
漏洞数量占比最高的前三种类型分别为:代码执行、信息泄露、拒绝服务。
卡巴斯基安全研究人员透露,他们的一些公司iOS设备上安装了以前未知的间谍软件。感染是通过 iMessage发生的——受害者收到一条带有附件的消息,其中包含一个漏洞,该漏洞会触发一个允许执 行代码的漏洞,利用未知硬件接口绕过保护措施,对任意内核地址进行读写,从C2服务器下载其他恶 意软件。最后,删除附件中的初始消息和漏洞。受害者不需要打开iMessage就可以发生感染。
2023年11月10日,中国工商银行(ICBC)的美国全资子公司工银金融服务有限责任公司(ICBCFS) 在官网发布申明称11月8日遭受了LockBit勒索软件攻击,导致部分系统中断。攻击发生后,由于被攻击的系统被隔离断网,工行总部和其他海外分支机构并未受到影响,但也导致 工银金融无法清算待处理的美国国债交易,被迫通过U盘发送结算数据。据报道,对工商银行美国子 公司的攻击已经扰乱了美国国债市场。
2023年共标记关键漏洞824个,占全年新增漏洞的2.76%。其中有公开Exploit/PoC漏洞数量为631个,占全年新增漏洞的2.12%;发现在野利用漏洞数量为264个,占全年新增漏洞的0.88%;0day漏洞数量为75个,占全年新增漏洞的0.25%;APT相关漏洞数量为18个,占全年新增漏洞的0.06%。
卡巴斯基自2023年6月1日曝光Operation Triangulation攻击行动后发布多篇报告,此行动涉及4个0-day 漏洞的使用:Apple 特殊字体代码执行漏洞(CVE-2023-41990)、Apple Kernel权限提升漏洞 (CVE-2023-32434)、Apple iPhone硬件安全机制Page Protection Layer绕过漏洞(CVE-2023-38606)、 Apple WebKit代码执行漏洞(CVE-2023-32435)。卡巴斯基称其内部重要员工的iPhone手机从2019年开 始就遭到0-day漏洞的攻击,此次行动的受害者可能涉及多个国家的重点公司及政府部门。奇安信威胁情 报中心依赖奇安信内部相关数据,确认Operation Triangulation行动同样波及了国内多个重点单位的重 要人员。Operation Triangulation攻击链无需用户交互(0-click),并且适用的iOS版本可至16.2。攻击第一阶段 通过iMessage发送带字体漏洞CVE-2023-41990的pdf文件,漏洞触发配合 CVE-2023-32434/CVE-2023-38606实现完整的代码执行权限,之后清除了设备中的所有漏洞利用痕迹并 转入第二阶段的Safari利用流程,中间会有一个受害者鉴定的操作,完成后通过Safari漏洞 CVE-2023-32435配合CVE-2023-32434/CVE-2023-38606再次实现完整的代码执行权限,并投递恶意软 件。
2023年APT活动相关漏洞列表
2023年风险通告(建议必修)
