漏洞,即计算机系统的弱点,随着近年来信息技术系统的广泛应用,网络的广域连接,针对漏洞的攻击也越来越多,利用漏洞的病毒、木马技术进行网络盗窃和诈骗的网络犯罪活动呈快速上升趋势。产生了大范围的危害,由此给企业造成了重大经济损失。
一. 漏洞数量增长史无前例
2017年各大漏洞库公布的漏洞数量较以往呈明显激增态势。
# 国家信息安全漏洞库(CNNVD):
CNNVD公布的漏洞数量为14,748个,2016年全年的漏洞总数为8,753个,预期年增长率至少上升70%。而CNNVD自正式统计漏洞数量以来,从2010年至2016年,增长率最高才为20%。
# 美国国家漏洞库(NVD):
NVD公布的漏洞数量为14,277个,2016年全年的漏洞总数为6,515个,预期年增长率至少上升170%。
# 公共漏洞披露平台(CVE):
CVE公布的漏洞数量为17,760个,2016年全年的漏洞总数为10,703个,预期年增长率约为70%。
(注:以上2017年的漏洞数量均为截止到12月19日的统计数字)
漏洞激增的部分原因,是因为各大漏洞公告平台在各自的数据库中开始囊括更多的漏洞。另一个重要原因则是云计算、移动互联网、物联网设备的普及,各种网络应用的爆发,以及更多的人员进入安全领域并开始关注漏洞。
此外值得注意的是,美国的国家漏洞数据库(NVD),漏洞报告从提交到收录进数据库的平均时间是33天,而我国的国家漏洞数据库(CNNVD)是13天。也就是说,在漏洞细节提交后,订阅了NVD的用户要平均等33天才能收到警告,而在中国订阅了CNNVD的用户,平均13天内即可收到警报,2倍于NVD的速度。
二. 漏洞可能出现在各个层面
从硬件到软件,再到虚拟化、云计算,从疏忽大意形成漏洞,到主动防护反而被黑,从终极破解方法到原始遗留问题,漏洞可能在各个环节,因各种原因,以及各种面目出现。
2017年较为特殊的漏洞事件
1月:
卡巴斯基杀毒软件证书密钥出现漏洞,攻击者可通过碰撞轻易伪造证书,实现中间人劫持。
2月:
“地址空间布局随机化”(ASLR)技术被破解,包括英特尔、AMD、三星、Nvidia、微软、苹果、谷歌和Mozilla等芯片制造商和软件公司均受影响。
3月:
Cisco IOS&IOS XE Software CMP 出现远程代码执行漏洞(CVE-2017-3881),允许未授权访问,远程攻击者可以重启设备、执行代码,提升权限。
4月:
苹果设备WiFi芯片出现任意代码执行缓冲区溢出漏洞,该漏洞影响 iPhone 5 及以上版本,iPad 4代及更新机型,还有 iPod touch 6代及更新版本。
5月:
西班牙电信德国子公司证实,黑客利用SS7漏洞窃取验证码,然后将客户账户上的资金洗劫一空。这是第一起SS7漏洞公开证实的攻击;
英特尔AMT、ISM、SBT固件6到11.6版出现漏洞(CVE-2017-5689),攻击者可获得控制权限。
7月:
博通WiFi芯片固件出现“堆溢出”漏洞(Broadpwn),约10亿台苹果和安卓受此影响。
8月:
车载信息控制单元中的英飞凌2G基带芯片出现漏洞,福特、英菲尼迪、日产聆风、宝马等车型均受影响;
英特尔CPU安全控制机制ME上运行的固件出现漏洞,可被利用成为后门。
9月:
蓝牙通信协议出现8个漏洞(Blueborne),理论上可影响全球所有使用蓝牙的设备。
10月:
奥地利、美国和澳大利亚三国研究人员研究出Rowhammer终极攻击方法,可攻破目前所有可用防御措施,且可以远程进行,包括云端主机;
无线安全协议WPA2出现漏洞KRACK(密钥重装攻击),理论上可以对任何支持Wi-Fi的设备产生影响;
德国半导体制造商英飞凌的某些芯片,可信平台模块出现漏洞(CVE-2017-15361),该漏洞允许知晓RSA公钥的攻击者获取私钥;
国际海事卫星公司的 AmosConnect 8 网络平台被曝两个漏洞,攻击者可以获得远程访问特权,接管整个平台。该平台用于监视轮船IT和导航系统,以及收发消息、邮件,浏览网页等。
11月:
研究人员揭示微软Office公式编辑器漏洞(CVE-2017-11882),攻击者可完全控制系统,该漏洞已存在17年;
苹果macOS 10.13出现高危漏洞,物理接触设备无需口令便可获取管理员权限(以root用户登录)。
12月:
包括汇丰银行、英国西敏寺银行、Co-op银行、美国银行等移动应用,出现由于“证书锁定”安全机制带来的严重缺陷,数百万用户面临中间人攻击的风险;
传输层安全协议(TLS)19年前的ROBOT漏洞再现,攻击成功后,攻击者可被动监视并记录流量,发动中间人攻击。
漏洞发现带来的几点启示:
√ 安全产品不一定安全。无论是杀毒软件还是防火墙,抑或是安全机制,用于安全防御的事物本身也能成为漏洞的藏身之处。
√ 底层漏洞防不胜防。芯片或固件一旦出现漏洞,卸载软件、打补丁、重装操作系统均无法彻底解决问题,而更新固件或是更换芯片意味着巨大的困难。
√ 通信协议或标准漏洞影响面巨大。动辄影响上亿的设备,而协议的更新换代则需要度过漫长的时间周期。
√ 数字化应用的爆发带来漏洞的爆发。无论是移动设备还是物联网设备,无论是虚拟化还是云计算与开源社区,在今年都呈飞速上升与扩展的趋势,因此漏洞的爆发应在意料之中。
√ 长老级漏洞与难打的补丁现象固疾难除。出于各种原因,许多补丁事隔很长时间才能得到修复,甚至是永远不会修复。而只有修复之后,才谈得上更新。最后,对老旧系统的更新可能才是真正的挑战。
√ 零日漏洞与开源。不谈国家强制力量,零日漏洞的一大根源是开源代码的不断扩散。每年1110亿行代码的扩张量,越来越多的开发者加入开源模块、组件、库的复用队伍。开源安全责任重大,与社区中的每一个人都有关。
3. 漏洞披露问题的两难
2017年,从发现Facebook任意图片删除漏洞拿到1万美金,到美国国防部“入侵空军”二期众测项目发放的26万美元,再到漏洞交易平台Zerodium的50万、100万、150万美元的漏洞征集奖金,一个问题浮出水面,漏洞到底值多少钱?
这个问题非常复杂,涉及到漏洞利用的时间周期、漏洞所在系统本身的价值、漏洞可能带来的危害程度、影响范围,漏洞防范的难易度等众多因素。但无疑,漏洞信息的机密程度是漏洞价值的最关键因素。知道的人少(即零日漏洞或N日漏洞)就越值钱,知道的人越多就越低廉。因此,才会有完全披露和负责任披露两种模式的出现。二者之间各有利有弊,是一个平衡取舍的问题。
11月15日,美国白宫发布《漏洞平衡政策》,十大部门形成审查委员会,根据漏洞的波及范围、利用难度、可导致的破坏,以及漏洞修复难度等,衡量漏洞的威胁程度,结合政府如何利用漏洞,以及利用漏洞的事实被公开将面临的政治风险,来审查漏洞,最终决定公开日期或保密。
漏洞审查委员会成员:
国防部(含NSA)
中央情报局
司法部(含FBI)
国务院国土安全部
国家情报总监办公室
财务部
能源部
商务部
管理与预算办公室
2017年的NVD漏洞总数约1.5万个,按照CVSS V3 的评级方法,仅高危漏洞就3千多个。况且,超过四分之三的漏洞在NVD发布之前就已经在新闻站点、博客、社交媒体,以及常人无法触及的暗网、犯罪论坛公布。因此该审查委员会,将特别针对零日漏洞做出披露决策。
不管是对比前几年,还是漏洞库内部的对比,2017年的漏洞呈现出越来越严峻的形势,越来越多的漏洞出现在网络系统之间,而移动平台的系统逐渐成为多发漏洞的地方,并且透过漏洞,攻击者瞄准着个人信息。对于漏洞整体的攻击体系正在不断成型,展望下班了年,这种大趋势可能还将继续下去,信息安全行业人员,运维人员势必迎来更多的挑战。我们相信,只要正确的认识漏洞,了解攻击者利用漏洞的方式,及时应对,漏洞并不足为惧。