根據(jù)綠盟科技發(fā)布的《漏洞發(fā)展趨勢報告》顯示,由于攻擊門檻低,十年以上高齡漏洞在攻擊事件中仍然被攻擊者大量使用。
攻擊事件使用到的漏洞"年齡"分布圖
十年以上“高齡漏洞”無法退休背后,是大量長期未更新的軟件和系統(tǒng)
攻擊事件中使用的漏洞和具體的操作系統(tǒng)環(huán)境相關,如物理隔離環(huán)境下的內網,就可能存在沒有及時更新補丁或版本的核心系統(tǒng)、數(shù)據(jù)庫,攻擊者一旦進入內網就可以利用這些成熟的漏洞利用代碼發(fā)起有效的攻擊。總體來說隨著時間的推移,老的漏洞會不斷被修補,新的漏洞不斷產生,攻防之間的對抗將會一直持續(xù)。
一年65+萬次攻擊,不死的EternalBlue(永恒之藍)
漏洞利用是攻擊的常用手段,通過對漏洞攻擊事件的監(jiān)測可以掌握攻擊者的技術特點、行為習慣,進而可以對攻擊者進行行為畫像,為漏洞預警提供幫助。2017年4月ShadowBrokers發(fā)布了針對Windows操作系統(tǒng)以及其它服務器系統(tǒng)軟件的多個高危漏洞利用工具。同年5月,EternalBlue工具被WannaCry勒索軟件蠕蟲利用,在全球范圍大爆發(fā),影響了包括中國在內的多個國家。EternalBlue相關的漏洞主要有CVE-2017-0144、CVE-2017-0145以及CVE-2017-0147,對應Microsoft的安全公告MS17-010。
根據(jù)綠盟威脅情報中心監(jiān)測數(shù)據(jù)顯示,利用CVE-2017-0144的攻擊事件共計4919441次,利用CVE-2017-0145的攻擊事件共計27276次,利用CVE-2017-0147的攻擊事件共計1567618次?梢钥吹皆2019年中,利用這些漏洞的網絡攻擊持續(xù)活躍在真實網絡中。
利用EternalBlue漏洞的攻擊事件
讓安全漏洞可控,全生命周期視角下的蠕蟲級RDP漏洞—CVE-2019-0708
2019年5月,Microsoft在當月的安全更新中,對一個新的RDP漏洞CVE-2019-0708發(fā)布了警告,該漏洞可以被用作蠕蟲攻擊,8月又披露了兩個類似可用作蠕蟲的漏洞CVE-2019-1181/1182。隨后的9月針對CVE-2019-0708的可利用攻擊腳本被公開。截止2020年3月,綠盟威脅情報中心監(jiān)測到相關攻擊事件87211次。
利用CVE-2019-0708漏洞的攻擊事件
在漏洞剛披露的5月份,漏洞的時效性強,并非所有用戶都及時修復,漏洞利用價值高,攻擊組織在網絡中發(fā)起攻擊,攻擊事件出現(xiàn)了短暫的峰值。7月份漏洞利用的代碼被公開,更多黑產、腳本小子等攻擊者開始使用,攻擊事件再次呈現(xiàn)快速增長的趨勢。隨著攻擊事件的持續(xù)發(fā)生,越來越多的用戶開始更新補丁、修復漏洞,針對該漏洞的攻擊事件逐漸下降。
攻擊者關注穩(wěn)定、高效的漏洞利用技術
攻擊者關注穩(wěn)定、高效的漏洞利用技術,在漏洞的選擇上追求易用性、時效性以及是否能獲取目標控制權限的攻擊能力。根據(jù)綠盟威脅情報中心監(jiān)測的安全事件,本文整理出了2019年1月-2020年3月與漏洞利用相關的攻擊事件,提取了漏洞利用較高的十個漏洞信息。
漏洞利用較高的CVE信息
瀏覽器漏洞利用占比48.44%,瀏覽器的更新與防護仍需關注
瀏覽器作為網絡攻擊的入口,在實際利用中占比48.44%,影響范圍廣。瀏覽器的漏洞種類復雜多樣,2009年之前漏洞主要以ActiveX控件和基于棧的緩沖區(qū)溢出為主,2013年越界訪問、釋放后重用等新型漏洞一度呈現(xiàn)快速增長的趨勢。近年來,各大瀏覽器為了提高網頁的加載和JavaScript腳本的運行速度,大量使用了即時編譯(Just-in-time)系統(tǒng),一時間JIT引擎成為攻擊者主要的目標。
應用軟件漏洞利用分布
利用文件格式漏洞的魚叉式釣魚攻擊,成為網絡安全的主要威脅之一
文檔類型漏洞中,AcrobatReader為載體的PDF漏洞數(shù)量共1823個,占據(jù)文檔類型的59.07%,但在實際攻擊場景中卻并不常見,實際利用占比1.19%。Office相關的漏洞數(shù)量雖然比PDF格式的要少,但在實際攻擊中備受黑客關注,攻擊者只需考慮版本兼容,不需過多考慮產品兼容,一個穩(wěn)定的漏洞利用文檔基本可以實現(xiàn)一個產品的全覆蓋。
Flash漏洞大限將近,但漏洞安全仍不容忽視
Flash漏洞作為曾經的研究焦點,2015和2016年爆出的漏洞總數(shù)占據(jù)Flash漏洞的55.09%,在實際利用中占比13.08%。但是Flash漏洞利用不能由單純的SWF文件完成,需要在瀏覽器、Office、PDF中以插件的形式來完成攻擊。在實際攻擊中常以插件形式被嵌套在各種ExploitKit工具包,可以達到穩(wěn)定利用,更新速度快以及免殺的效果。
開源軟件面臨漏洞利用和軟件供應鏈的“雙重攻擊”
開源軟件便于研究員進行基于源代碼的白盒測試。Web類開源框架的利用代碼公開后可以在短時間內被集成到成熟的攻擊框架中,降低了漏洞利用的門檻。擁有復雜的處理邏輯,并且廣泛使用的開源軟件更容易成為研究員或者黑客的目標。隨著開源軟件開發(fā)模式的興起,針對軟件供應鏈的攻擊成為一種新興威脅,相當于給攻擊者的惡意代碼披上了“合法”的外衣,傳播速度更快,影響范圍更廣,危害更大,同時也更隱蔽。
一年上漲1082%,移動安全的風暴從未停息
近些年來研究人員對智能終端系統(tǒng)的漏洞關注度逐漸提高,2015年Android系統(tǒng)漏洞整體呈現(xiàn)爆發(fā)式增長。其中,Application Framework & Libraries的漏洞總量達130個,同比上漲1082%。2018年8月Google發(fā)布的Android 9中,為部分守護進程和內核引入了控制流完整性CFI(Control Flow Integrity)防護機制,能夠直接對抗常用ROP/JOP/COOP代碼重用利用技巧。新的保護機制的引入和Google對Android系統(tǒng)安全逐漸重視使得2017年后漏洞數(shù)量顯著減少。
iOS系統(tǒng)由于硬件與軟件高度集成,一向以安全著稱。2015年iOS系統(tǒng)漏洞總量達369個,同比上漲156.25%。2019年8月Google安全團隊公布了5個漏洞利用鏈及相關聯(lián)的14個安全漏洞 ,涉及從 iOS 10 到 iOS 12的版本,這無疑為其它攻擊者提供了一個很好的著手點,對iOS系統(tǒng)的安全性提出了巨大的挑戰(zhàn)。
Android歷年漏洞數(shù)量
iOS系統(tǒng)歷年漏洞數(shù)量
物聯(lián)網成“!甭(lián)網
物聯(lián)網設備數(shù)量和種類增長迅速,但是防御措施少。下表給出了2019年物聯(lián)網漏洞利用數(shù)量前十的漏洞信息。
物聯(lián)網漏洞利用數(shù)量Top10
其中CVE-2015-2051、CVE-2017-17215、CVE-2014-8361這三個漏洞都與UPnP協(xié)議有關。UPnP使用SOAP協(xié)議實現(xiàn)對設備的控制。綠盟科技《2019年物聯(lián)網安全年報》顯示,SOAP服務可訪問的設備占UPnP設備總量的46.9%,這些設備中,61%的設備存在中危及以上的漏洞。
已經監(jiān)測的漏洞利用所對應目標設備以路由器和視頻監(jiān)控設備為主。這些安全問題主要來源于兩點,一是由于大多數(shù)的固件在出廠時就存在弱口令、甚至無需口令校驗的問題,這種不安全的固件配置大大提高了攻擊者的攻擊效率。二是固件所調用的第三方組件漏洞甚至是操作系統(tǒng)內核漏洞,不能夠及時追蹤修復。
網絡安全的本質是攻與防的對抗,未知攻焉知防,只有在了解了各種攻擊技術和手段后才能采取更加有效的防御策略,從而避免安全事件的發(fā)生。