2020年度漏洞态势观察报告.pdf_报告吧baogao8.com-

资源描述

奇安信 CERT 监测到互联网中的网络安全漏洞信息整体呈爆发增长趋势，其中微软、 Oracle、 Google 等软件巨头的安全漏洞在全年的占比依然较大。在 APT 方向攻击者选用的漏洞目标逐渐从 Windows 下的原生浏览器，向 Chrome、 Firefox 等用户量更大的浏览器转移。奇安信 CERT 致力于向客户提供监测全面、响应迅速、认定客观、建议可行的漏洞情报。受地缘政治局势影响，网络设备相关漏洞增幅较大，攻击组织更喜欢使用利用门槛低、危害大的网络设备漏洞作为攻击突破口。漏洞细节一旦在网络上公开，漏洞将极大可能由理论威胁上升为实际威胁，如 Citrix ADC 和 Citrix Gateway 远程代码执行漏洞，从漏洞公告发出到成熟完整的具有实际威胁的 EXP 出现仅用了 5 天时间，甚至快于官方补丁修补的时间。 F5 BIG-IP TMUI 远程代码执行漏洞更是直接监测到了漏洞利用代码。对重要漏洞进行长期的持续监测是规避安全风险的有效方法。奇安信 CERT 已经建立起有效的漏洞持续监测与响应机制，可及时全面的响应全网重要高危漏洞。面向资产、配置、漏洞、补丁的系统安全工作可提高企业漏洞修复的确定性，实现及时、准确、可持续的系统安全保护。随着互联网的发展和 5G 网络的建设，当前进入了海量数据处理时代。漏洞的处理从人工转向自动化成为必然趋势。传统 “ 条文式 ” 漏洞修补和防护的管理模式，已经无法适应数字化转型深入的要求，安全能力体系及安全运行体系的升级，需要更加先进的漏洞情报体系进行支撑。奇安信 CERT 将漏洞处理流程化、系统化，通过大数据处理和人工智能的方式将海量信息进行过滤、去重、匹配、筛选，达到人工可处理的数量级。大大提升了漏洞处理的效率和准确性。在 5G 通讯技术、相关安全研究技术及逆向工程工具（ Ghidra、 IDA Pro 等）快速发展以及缺乏常见的安全防护等因素的共同作用下， IoT 漏洞数量持续上升。 2020，注定是不平常的一年，受国内外疫情影响，很长一段时间内工厂停工、停产，学校停课、停学，企业办公也受到了不同程度的影响。平静的湖面下暗潮汹涌， 2020 年以漏洞挖掘和漏洞利用为核心的网络攻击，在无数的地方不断发生着。纵观全年，业界共提交了 CVE 漏洞 1 万 3 千余个，较 2019 年 17304 个增长趋势有所放缓。国家信息安全漏洞共享平台 CNVD 收录的漏洞仍在不断突破新的记录， 2020 年 CNVD 收录的漏洞总数较 2019 年同比增长 24.23%。面对如此庞大的漏洞数量，奇安信监测与响应中心（奇安信 CERT）建立了适合自己的漏洞情报方法论，从漏洞监测、漏洞评价、漏洞处置以及漏洞情报输出四方面进行全方位的整理，以客户优先的原则向客户输出优质的漏洞情报。在 2020 年度，奇安信 CERT 作为安全研究团队向 WebLogic、 Jackson 等安全厂商共提交了十余个研究发现漏洞，并对全年度的热点漏洞进行了深入研究，以创新优先的原则向公众输出我们的研究成果。道阻且长，行则将至。对于安全而言，没有一劳永逸的解决方案，攻防交替的博弈中，率先掌握漏洞情报的一方，往往更加容易占据优势地位。由此，奇安信安全监测与响应中心（奇安信 CERT）、奇安信红雨滴高级威胁研究团队（天眼实验室）、奇安信技术研究院联合发布 2020 年度漏洞态势观察报告，从漏洞视角出发，梳理全年漏洞数据、分享漏洞研究成果、总结漏洞监测与响应方法论，并以此展望安全漏洞发展趋势。旨在为各企事业单位持续提供精准漏洞情报、为各行业安全能力建设提供参考。奇安信安全监测与响应中心奇安信应急响应部（奇安信 CERT）成立于 2016 年，隶属于奇安信旗下的安全监测与响应中心，旨在第一时间为客户提供漏洞或网络安全事件安全风险通告、响应处置建议、相关技术和奇安信相关产品的解决方案。早在 Oracle 2020 年第二季度关键补丁更新公告中，就被评为了 “在线状态安全性贡献者 ”。并且多次率先提供 WebLogic、 Jackson 等重大安全问题的风险通告及可行的处置措施并获得官方致谢。同时奇安信 CERT 在 Web 漏洞研究、二进制漏洞研究、前瞻性攻防工具预研等方面均积累了丰富的经验。欢迎大家关注公众号【奇安信 CERT】了解更多有趣信息。奇安信威胁情报中心奇安信旗下的高级威胁研究团队红雨滴（天眼实验室） ,成立于 2015 年，持续运营奇安信威胁情报中心至今，专注于 APT 攻击类高级威胁的研究，是国内首个发布并命名 “海莲花 ”（ APT- C-00， OceanLotus） APT 攻击团伙的安全研究团队，也是当前奇安信威胁情报中心的主力威胁分析技术支持团队。目前，红雨滴团队拥有数十人的专业分析师和相应的数据运营和平台开发人员，覆盖威胁情报运营的各个环节：公开情报收集、自有数据处理、恶意代码分析、网络流量解析、线索发现挖掘拓展、追踪溯源，实现安全事件分析的全流程运营。奇安信技术研究院奇安信技术研究院是专注于网络空间安全相关技术的研究机构，聚焦网络空间安全领域基础性或前沿性的研究课题，结合国家和社会的实际需求，开展创新性和实践性的技术研究。研究院在互联网基础设施领域，软件基础分析方法和漏洞挖掘技术有多年的研究基础，并建立了互联网基础数据安全平台、威胁分析系统、软件行为分析系统、软件空间安全测绘系统和物联网安全分析平台。年度漏洞处置情况 2020 年奇安信 CERT 共监测到漏洞信息 183692 条 2，经过 NOX 安全监测平台筛选后，其中 750 条漏洞信息达到奇安信 CERT 的处置标准并进行初步研判，并对较为重要的 661 条漏洞信息进行深入研判。相比于 2019 年， 2020 年新增了 30252 条漏洞信息，研判后的漏洞环比增长 153.4%，深入研判的漏洞环比增长 123.3%。每月的漏洞信息数量增长曲线如图 1-1 所示，微软和 Oracle 同时发布补丁通告的月份（一月、四月、七月、十月）漏洞数量会明显增多，软件巨头的补丁发布仍然主导着漏洞趋势。 2020 年上半年由于受新冠疫情的影响整体漏洞量较少，下半年疫情逐步平稳后漏洞数量逐步增加。图 1-1 每月漏洞新增奇安信 CERT 结合 CVSS 评价标准以及漏洞产生的实际影响将漏洞定级分为高、中、低危三种等级，用来评价漏洞不同的影响程度。 2020 年奇安信 CERT 初步研判的 750 条漏洞信息 1 奇安信 CERT 将互联网上包含漏洞相关内容的信息统称为漏洞信息。 2 报告中的数据为奇安信 CERT 监测数据，时间截止到 2020 年 12 月 24 日。中，各个等级按数量分布如图 1-2 所示。图 1-2 漏洞危害占比其中低危漏洞占比 24%，此类漏洞利用较为复杂或对可用性、机密性、完整性造成的影响较低；中危漏洞占比 31%，此类漏洞产生的影响介于高危漏洞与低危漏洞之间，可能需要一些复杂的配置或对漏洞成功利用的要求较高；高危漏洞占比 45%，此类漏洞极大可能造成较严重的影响或攻击成本较低。对于进行初步研判的 750 条漏洞信息的漏洞类型奇安信 CERT 对其进行了分类总结，如图 1-3 所示，其中占比最高的五种类型分别为：代码执行漏洞、拒绝服务漏洞、权限提升漏洞、信息泄露漏洞、安全特性绕过漏洞。图 1-3 漏洞类型占比年度热门漏洞奇安信 CERT 持续关注每个漏洞的全网讨论情况，对于讨论次数较多的漏洞我们会特别关注并给予热度值。 2020 年度总舆论热度值排行榜 TOP20 漏洞如表 1-1 所示，表 1-1 总舆论热度值排行榜漏洞编号热度漏洞名称影响组件 CVSS CVE-2019-19781 1084 Citrix ADC 和 Citrix Gateway 远程代码执行漏洞 Citrix ADC 和 Citrix Gateway 9.8 CVE-2020-0796 985 Microsoft SMBv3 远程代码执行漏洞 SMBv3 10.0 CVE-2020-0601 952 Microsoft Windows CryptoAPI 欺骗漏洞 Windows CryptoAPI 8.1 CVE-2020-1472 664 Microsoft NetLogon 特权提升漏洞 NetLogon 10.0 CVE-2020-5902 595 F5 BIG-IP 远程 F5 BIG-IP 9.8 16 7 7 10 10 11 11 12 13 14 18 26 27 37 57 78 86 310 0 20 40 60 80 100 120 140 160 180 200 220 240 260 280 300 320 340 其他中间人攻击内存泄漏服务端请求伪造 SQl注入内存损坏 XML外部实体注入文件上传目录遍历跨站脚本漏洞身份认证绕过命令执行错误的访问控制安全特性绕过信息泄漏权限提升拒绝服务代码执行漏洞类型占比代码执行漏洞 CVE-2020-11651 412 SaltStack 身份验证绕过漏洞 SaltStack 9.8 CVE-2020-1350 381 Microsoft Windows DNS Server 远程代码执行漏洞 Windows DNS Server 10.0 CVE-2020-0688 378 Microsoft Exchange 远程代码执行漏洞 Exchange ECP 8.8 CVE-2020-0674 326 Microsoft Internet Explorer JScript 远程代码执行漏洞 Internet Explorer JScript 7.5 CVE-2020-11652 305 SaltStack 目录遍历漏洞 SaltStack 6.5 CVE-2020-2883 246 Oracle Coherence 远程代码执行漏洞 Coherence 9.8 CVE-2020-0022 236 Android 蓝牙模块远程代码执行漏洞 Android 蓝牙模块 8.8 CVE-2020-16898 203 Microsoft Windows TCP/IP 远程代码执行漏洞 Windows TCP/IP 8.8 CVE-2019-11510 194 Pulse Secure SSL VPN 多个版本任意文件读取漏洞 HTML5 Access 10.0 CVE-2020-1938 192 Apache Tomcat 服务器文件包含漏洞 Tomcat 9.8 CVE-2020-0609 178 Microsoft Windows 远程桌 Windows 远程桌面网关 9.8 面网关 (RD Gateway)远程代码执行漏洞 CVE-2019-17026 178 Firefox 远程代码执行漏洞 Mozilla Firefox 8.8 CVE-2020-0610 168 Microsoft Windows 远程桌面网关 (RD Gateway)远程代码执行漏洞 Windows 远程桌面网关 9.8 CVE-2020-0932 159 Microsoft SharePoint 远程代码执行漏洞 SharePoint 8.8 CVE-2020-0687 158 Microsoft Graphics 远程代码执行漏洞 Windows 字体库 8.8 奇安信 CERT 对各厂商漏洞处置情况奇安信 CERT 持续监测国内外各厂商的漏洞披露情况， 2019 年和 2020 年各厂商漏洞处置数量如图 1-4 和图 1-5 所示：图 1-4 2019 年各厂商漏洞处置数量开源软件 33% 微软 21%网络设备 7% 办公软件 7% WRS 5% Google 3% IBM 3% Apple 1% Adobe 1% Oracle 1% 其他 18% 漏洞数量开源软件微软网络设备办公软件 WRS Google IBM Apple Adobe Oracle 其他图 1-5 2020 年各厂商漏洞处置数量从以上两张图的对比可以看出，微软、苹果、 Oracle、 IBM 这类商业软件漏洞多发，且因为其基本有节奏的发布安全补丁，为漏洞处置的关注重点。开源软件在企业中越来越多的使用，关注度逐渐攀升。部署在网络边界的网络设备在攻防行动中占据了重要地位。年度漏洞挖掘情况奇安信 CERT 除了漏洞的持续监测工作还向诸多厂商提交了漏洞，多次获得官方致谢。奇安信 CERT2020 年度漏洞挖掘情况如表 1-2 所示：表 1-2 奇安信 CERT2020 年度漏洞挖掘情况厂商 CVE 编号漏洞名称 CVSS Oracle CVE-2020-2798 WebLogic 远程代码执行漏洞 7.2 CVE-2020-2963 Oracle WebLogic Server 远程代码执行漏洞 4.9 CVE-2020-14645 Oracle Fusion Middleware WebLogic Server Core 组件安全漏洞 9.8 微软 26% 开源软件 28% 网络设备 5% F5Networks 5% Oracle 4% 办公软件 4% Cisco 2% IBM 2% Google 2% Atlassian 2% Citrix 2% Firefox 2% 其他 16% 漏洞数量微软开源软件网络设备 F5Networks Oracle 办公软件 Cisco IBM Google Atlassian Citrix Firefox 其他 CVE-2020- 14841 Oracle WebLogic Server 远程代码执行漏洞 9.8 CVE-2020-14750 Oracle WebLogic Server 远程代码执行漏洞 9.8 CVE-2020-2829 Oracle WebLogic Server 远程信息泄露漏洞 4.9 CVE-2020-14636 Oracle Fusion Middleware WebLogic Server 信息泄露漏洞 6.1 CVE-2020-14637 Oracle Fusion Middleware WebLogic Server 安全漏洞 6.1 CVE-2020-14638 Oracle Fusion Middleware WebLogic Server 安全漏洞 6.1 CVE-2020-14639 Oracle Fusion Middleware WebLogic Server 信息泄露漏洞 7.5 CVE-2020-14640 Oracle Fusion Middleware WebLogic Server 安全漏洞 6.1 CVE-2020-14652 Oracle Fusion Middleware WebCenter Sites 安全漏洞 6.5 FasterX ML CVE-2020-11620 Jackson-databind远程代码执行漏洞 8.1 Micros oft CVE-2020-17144 Microsoft Exchange 远程代码执行漏洞 8.4 年度热门漏洞有如下几个特点： 1、漏洞利用门槛极低，危害巨大，且相关产品用量较大。漏洞利用脚本编写难度低，很快被攻击组织利用来进行大规模武器化攻击。 2、软件巨头的高危漏洞通常受到极大的关注，话题性强，研究价值高因此，软件巨头的高危漏洞和众多利用门槛相对较低的漏洞应该是漏洞应急响应的重中之重。年度 APT 组织漏洞利用情况 2020 年，随着全球地缘政治局势动荡， APT（高级持续性威胁）组织的攻击活动也愈发凶猛。在利用漏洞攻击方面，不同的 APT 组织采取的策略也不大一致，奇安信 CERT 根据奇安信威胁情报中心持续监测到的数据对 2020 年攻击组织经常使用的漏洞进行分类总结，从中窥探未来的 APT 组织漏洞利用趋势。从奇安信威胁情报中心得到的数据上看，攻击组织在面对高价值目标时，必要情况下会使用 0day 漏洞，而值得注意的是，一旦攻击组织使用 0day 漏洞作为攻击入口，那么其后续使用的提权漏洞同为 0day 漏洞的概率极高。据奇安信威胁情报中心监测到的在野攻击事件中， 2020 年攻击组织主要使用的 0day 漏洞大体可分为：浏览器漏洞、个人操作系统漏洞、企业级网络设备漏洞、移动端漏洞。其中攻击组织重点使用的漏洞如表 1-3 所示：表 1-3 攻击组织重点使用的漏洞漏洞分类 CVE 编号漏洞名称 CVSS 漏洞定级浏览器漏洞 CVE-2019- 17026 Firefox 远程代码执行漏洞 8.8 高危 CVE-2020- 0674 Microsoft Internet Explorer JScript 远程代码执行漏洞 7.5 高危 CVE-2020- 1380 IE 脚本引擎内存损坏漏洞 7.5 高危 CVE-2020- 6418 Google Chrome 远程 6.5 低危代码执行漏洞 CVE-2020- 15999 Chrome Freetype 中的堆缓冲区溢出漏洞 6.5 高危 CVE-2020- 16013 Google V8 引擎远程代码执行暂无中危 CVE-2020- 6819 Firefox 内存泄露漏洞 8.1 高危 CVE-2020- 6820 Firefox 拒绝服务漏洞 8.8 高危个人操作系统漏洞 CVE-2020- 27930 macOS 内存损坏漏洞 7.8 高危 CVE-2020- 27950 macOS 内存泄漏漏洞 5.5 中危 CVE-2020- 27932 macOS 特权代码执行漏洞 7.8 高危 CVE-2020- 0938 Adobe Font Manager Library 远程代码执行漏洞 7.8 高危 CVE-2020- 1020 Adobe Font Manager Library 远程代码执行漏洞 7.8 高危 CVE-2020- 17087 Microsoft cng.sys 权限提升漏洞 7.8 高危 CVE-2020- 0688 Microsoft Exchange 远程代码执行漏洞 8.8 高危 CVE-2020- Microsoft 7.8 中危 0986 Windows splwow64 权限提升漏洞企业级网络设备漏洞 CVE-2020- 8467 Apex One 和 OfficeScan 远程代码执行漏洞 8.8 高危 CVE-2020- 8468 Apex One 和 OfficeScan 安全验证绕过漏洞 8.8 高危 CVE-2020- 12271 Sophos XG Firewall / Sophos Firewall SQL 注入漏洞 9.8 高危移动端漏洞 CVE-2020- 9818 iOS和 iPadOS 数组越界漏洞 8.8 中危 CVE-2020- 0096 Android Framework 权限提升漏洞 7.8 低危同时，根据奇安信威胁情报中心数据观察显示，通过使用 Nday漏洞组合的攻击仍为主流，攻击组织今年使用的漏洞出现时间横跨 2017 年到 2020 年。这也从侧面反映出无论漏洞新旧，都应给予足够的关注度。奇安信威胁情报中心结合内部与外部数据，综合国内外漏洞攻击受害情况发现，南亚、东北亚、北亚、中东等国家级组织持续使用诸如 Office 远程代码执行、 Adobe Flash 远程代码执行等老牌漏洞。同时美国 CISA 指出来自某国家的攻击组织和美国大选期间的攻击者使用了众多网络设备的远程代码执行漏洞进行攻击，如： NetLogon 特权提升漏洞（ CVE-2020-1472） Juniper Networks Junos OS 路径遍历漏洞（ CVE-2020-1631） Citrix ADC 和 Citrix Gateway 远程代码执行漏洞（ CVE-2019-19781） MobileIron Core Connector 远程代码执行漏洞（ CVE-2020-15505） Pulse Secure SSL VPN 多个版本任意文件读取漏洞（ CVE-2019-11510） SAML 身份验证机制绕过漏洞（ CVE-2020-2021） F5 BIG-IP 远程代码执行漏洞（ CVE-2020-5902） Fortinet FortiOS 路径遍历漏洞 (CVE-2018-13379) 值得注意的是这些漏洞之间会组合使用。通过以上观察数据可以看出： 1、浏览器漏洞和个人操作系统漏洞一直为攻击组织的首要储备漏洞，通常以邮件或即时聊天工具为传播媒介利用此类漏洞，特点是可以对目标组织的相关个人进行定制化的针对性攻击。 2、由于移动互联网的发展和 5G 网络的建设，人们越来越多的使用移动端工作和娱乐，但大部分人缺乏对移动端设备的相关安全防护意识，导致移动端和移动 APP 的攻击活动逐年上升。 3、 2020 年由于全球疫情曝发，居家远程办公开始流行，各大厂商的 VPN 使用频率增加，攻击者利用 VPN 漏洞的攻击频率也呈上升趋势。 4、攻击者通常使用存在于网络边界设备中的漏洞对大型组织进行渗透，一旦渗透成功，可能会成为整个攻击行动中的重大突破。奇安信威胁情报中心对这些在 2020 年使用 Nday 漏洞的 APT 组织情况进行汇总，同时我们也可以认为，由于存在利用这些漏洞进行成功攻击的案例，因此这些 Nday 漏洞在未来很长一段时间都会被持续利用。 Exim 远程代码执行漏洞（ CVE-2019-10149）：远程代码执行漏洞，方程式组织称该漏洞已经被某国家政府资助的黑客利用至今。 Android 本地提权漏洞（ CVE-2019-2215）：该漏洞为安卓系统提权漏洞，南亚响尾蛇组织被发现利用该漏洞针对安卓终端目标用户实施移动 APT 攻击。 Microsoft Internet Explorer JScript 远程代码执行漏洞（ CVE-2020-0674）：南亚响尾蛇组织通过投放恶意文档，运用模板注入的方式，结合 CVE-2017-0199 漏洞下载 hta 脚本，而该脚本还装载有 CVE-2020-0674 的漏洞利用代码，基于此进行了漏洞利用攻击。 Microsoft 脚本引擎内存破坏漏洞（ CVE-2020-0968）：多米诺行动中，俄语攻击组织通过 RTF 文档进行攻击，打开文档会自动进行远程网页加载，而加载回来的网页则内嵌了 CVE- 2020-0968 的漏洞利用代码，基于此触发远程代码执行。 Microsoft Internet Explorer 多个版本远程代码执行漏洞（ CVE-2019-1367）： Magnitude 漏洞利用套件已经兼容该 IE 漏洞利用代码，目前已经被全球网络犯罪组织用于水坑攻击。 Microsoft SMBv3 远程代码执行漏洞（ CVE-2020-0796）：在 Windows SMBv3 版本的客户端和服务端存在远程代码执行漏洞，由于该漏洞可以导致直接远程连接目标主机，因此被全球安全研究者进行分析，并且漏洞利用代码已经在地下黑市流通。 Microsoft Exchange 远程代码执行漏洞（ CVE-2020-0688）：该漏洞已经被多个 APT 组织使用，通常攻击者会在 Exchange 服务器放置 Websehll，并在内网进行 Exchange 账号凭据爆破。 Microsoft Windows CryptoAPI 欺骗漏洞（ CVE-2020-0601）：该 CryptoAPI 椭圆曲线密码 (ECC)证书检测绕过漏洞由 NSA 上报，在上报后被安全研究人员发现原理并进行方法公布，导致一些攻击者使用该欺骗方法进行程序数字签名绕过，从而利用其进行攻击。 MobileIron Core Connector 远程代码执行漏洞（ CVE 2020-15505）： MobileIron 是移动设备管理（ MDM）系统提供商，英国国家网络中心表示， APT 组织正在使用该漏洞攻击某国家组织，美国网络安全和基础设施局（ CISA）还指出，在一次 APT 组织入侵中还结合 NetLogon 特权提升漏洞（ CVE-2020-1472）进行利用。 VMware Workspace One Access 等产品命令注入漏洞（ CVE-2020-4006）：美国 NSA 发布报告称，具备某国家背景的组织正在利用 VMware1 Access 和 VMware Identity Manager2 产品中的漏洞，从而在原有权限的基础上提升到最高权限从而可以执行任意命令。 IoT 漏洞利用情况根据美国国家通用漏洞数据库（ NVD）数据统计得知，近年 CVE 总量增长趋势有所放缓，从图 1-5 统计数据得知，物联网相关漏洞数量近年呈明显增长趋势，尤其自 2017 年以来， CVE 允许个人申报之后，漏洞增长呈爆发趋势。图 1-5 近 20 年物联网相关 CVE 漏洞报告趋势（ 1999 至 2020 年）当前物联网设备或平台已经成为网络攻击的重要目标，根据奇安信星迹平台（用于捕获网络攻击的蜜罐系统）统计，目前平均每天收到 PoC 漏洞利用流量约 300 万次，我们抽取了 2020 年 7 月 18 日的全天数据进行统计分析。结果如图 1-6 所示，取当天漏洞利用次数的前十名，其中仅排名第 2 的 phpMyAdmin 为非物联网目标，其他均为物联网设备。图 1-6 2020 年 7 月 18 日星迹平台捕获的漏洞利用行为（ Top10）在新基建背景下， 5G、智慧城市、工业互联网加速落地，万物互联时代来临，物联网正在成为现代信息社会基础设施的重要组成。奇安信 CERT 根据奇安信技术研究院物联网安全分析报告从漏洞视角出发，梳理当前物联网安全态势与发展趋势。 2020 年度以下物联网相关漏洞利用事件值得关注： Ripple20 漏洞波及数亿 IoT 设备安全研究人员在 Treck 公司开发的底层 TCP/IP 协议栈中发现了多个漏洞，其中包含了多个远程代码执行漏洞，这些漏洞被命名为 Ripple20。这些漏洞广泛存在于各个领域的关键物联网设备中，并涉及了众多供应商（包括 HP、 Schneider Electric、 Intel、 Rockwell Automation、 Caterpillar、 Baxter 等）。思科 CDP 协议曝 5 个 0day 漏洞安全研究员发现了思科 CDP 协议的 5 个 0day 漏洞，攻击者使用这些漏洞无需任何用户交互就可以完全接管设备。由于数千万思科设备被各大企业广泛使用，所以该系列漏洞在网络上的影响面极大。博通芯片组件曝严重漏洞，可影响数亿网络调制解调器安全研究员披露了一个名为 Cable Haunt 的安全漏洞，该漏洞会影响使用 Broadcom 芯片的电缆调制解调器，攻击者可通过攻击完全控制调制解调器，然后进行流量拦截或组建僵尸网络等操作。据估计，仅在欧洲就有近 2 亿个调制解调器易受攻击，并且后期没有办法追踪漏洞的具体扩散情况。有部分互联网服务提供商已经发布了补丁程序，但其它许多互联网提供商甚至都没有意识到这个漏洞的存在。多款儿童智能手表曝高危漏洞国外多家安全公司，相继曝出多家厂商生产的儿童手表存在严重的安全漏洞，据估计， 4700 万以上的终端设备可能受此影响。攻击者基于这些漏洞不仅能检索或者改变儿童的实时定位，还可以给他们打电话或者悄悄监视孩子的活动范围，或者从不安全的云端截获到各设备的通话音频文件。这给国内儿童智能产品市场敲响了警钟。 “蓝牙出血”：影响大量基于 Linux 的物联网设备 Google 和英特尔公告称， Linux 蓝牙协议栈 BlueZ 存在一个高危漏洞，大量基于 Linux 的物联网设备使用了该协议栈。 Google 将该漏洞命名为“血牙”，攻击者只需要知道受害者的蓝牙地址就可以通过发送恶意的数据包，实施拒绝服务攻击或任意代码执行。该漏洞 (CVE- 2020-12351)的 CVSS 评分为 8.3，属于较为严重的漏洞。高通和联发科 Wi-Fi 芯片曝高危漏洞 2020 年 2 月， ESET 的安全专家公布了漏洞编号为 CVE-2019-15126 的 Wi-Fi 高危漏洞，并将其命名为 Kr00k，该漏洞影响了博通和赛普拉斯制造的 Wi-Fi 芯片，可关联至全球数十亿台设备。利用该漏洞攻击者可拦截并解密用户的无线网络数据包，甚至入侵用户的设备。 2020 年 8 月安全研究人员发现，高通和联发科的 Wi-Fi 芯片亦受此漏洞变体的影响，据悉目前相关厂商均已发布相关安全补丁。 Amnesia:33 漏洞影响数百万智能和工控设备 2020 年 12 月，有安全研究人员披露了 4 个开源 TCP/IP 库中的 33 个安全漏洞，超过 150 个厂商使用了这些开源库。 Forescount 的研究人员评估有数百万台消费级和工业级设备受他们发现的安全漏洞的影响，他们将该漏洞命名为 Amnesia:33。据悉，研究人员受到 Ripple20 等漏洞的启发，通过一系列分析测试发现了这些漏洞，受影响的设备包括智能手机、游戏机、打印机、路由器、摄像头及各种工业设备等，攻击者利用这些漏洞可以实现远程代码执行或拒绝服务等操作。同 Ripple20 漏洞类似，这些漏洞检测困难，受供应链影响，很多智能设备的漏洞并不能得到及时修复。由以上事例，我们不难推测出：物联网基础设施仍相对脆弱，如物联网相关的基础协议等。 Ripple20 和 Amnesia:33 的 TCP 协议栈漏洞及思科 CDP 协议漏洞等均属此类问题；借助于供应链传播，单个漏洞的影响面不输于传统 PC，而且攻击路径更加简单。如博通、高通、联发科的芯片级漏洞可影响数亿级的日常及工业设备。根据美国国家通用漏洞数据库（ NVD）以及国家信息安全漏洞共享平台（ CNVD）近两年漏洞数据显示， 2019 年业界共提交了 CVE 漏洞 17304 个、 CVND 漏洞 16208 个， 2020 年度新增 CVE 漏洞 13922 个、 CNVD 漏洞 20136 个，漏洞数量不断突破新的记录。面对井喷式的漏洞情报增长，奇安信成立监测与响应中心（奇安信 CERT）对漏洞情报进行监测与响应。从第一篇风险通告发布至今，奇安信 CERT 已经持续为企业提供高质量漏洞情报达 5 年之久。通过 5 年的探索，奇安信 CERT 已经建立起了有效的漏洞响应机制，并将其流程化、系统化。漏洞持续监测漏洞持续监测有别于漏洞监测，是对每一条漏洞不间断的监测，持续更新相关信息，逐渐拨开漏洞迷雾的过程。奇安信 CERT 每天监控的漏洞相关情报数量最高可达 30000 条，其中涵盖了众多企业级软件官网、开源软件 GitHub、安全类订阅邮件、技术社区、安全类媒体、社交账号等。如图 2-1 所示（其中不包含专业第三方平台收录的信息）：图 2-1 漏洞监测来源这样的数量级已经不是人工可以筛选研判的了，因此奇安信 CERT 开发了 NOX 安全监测社交帐号 57% 安全类媒体 14% 安全类订阅邮件 8% 技术社区 7% 开源软件 GitHub 6% 企业级软件官网 6% 其他 2% 社交帐号安全类媒体安全类订阅邮件技术社区开源软件 GitHub 企业级软件官网其他漏洞监测来源系统，对漏洞信息流进行加工处理，通过大数据匹配和人工智能，识别有效的漏洞信息并对漏洞进行初步分级。达到一定条件的漏洞信息生成漏洞工单进行处理。不仅如此， NOX 还会对漏洞进行长达数月的持续监控，跟踪其信息变更、补丁更新、 PoC 和 EXP 状态等。如在今年热度持续居高不下的 CVE-2020-1472、 CVE-2020-0796 漏洞，都经历了数次更新，每一次更新都可能代表漏洞的现实威胁变更。漏洞评价奇安信 CERT 的漏洞评价标准主要参考 CVSS 但是增加了漏洞实际利用层面的评价。主要有以下几个维度：漏洞触发前置条件：用户交互；漏洞触发前置条件：用户认证；漏洞触发前置条件：其他条件；漏洞成功利用条件：攻击者控制能力之外的要求；漏洞触发方式；漏洞直接后果。因此，奇安信 CERT 研判后的漏洞评价等级并不一定和 CVSS 漏洞评分成正比。如图 2-2 所示：图 2-2 漏洞评价表举例说明， Apache Structs 2 远程代码执行漏洞 (S2-061)漏洞虽然 CVSS 评分为 9.8，但是我们的评级为中危，漏洞触发以及成功利用条件较为苛刻，漏洞触发点与 S2-059 历史漏洞的触发点相同。漏洞本质是对 S2-059 的沙箱绕过。触发漏洞首先需要开启 altSyntax 功能，且需要特定标签 id 属性 (其他属性有待寻找 )中存在表达式 %x 且 x 为用户可控并未经过安全校验。 Jackson-databind 2.9.10.8 反序列化远程代码执行漏洞（ CVE-2020-35490）的 CVSS 评分为 8.1，我们给出了中危的评价。此漏洞只影响 Jackson-databind 2.x 2.9.10.8，没有使用 enableDefaultTyping()的低版本项目不受影响，即非默认配置，影响面有限。鉴于此前多次爆发远程代码执行漏洞，黑名单策略无法根治，官方后期推出的高版本（ 2.10 及以上）均采用白名单策略，使用高版本用户不受此类漏洞影响。漏洞处置奇安信 CERT 尽可能的将漏洞的处置和研判过程自动化流程化，提升漏洞处置效率。目前奇安信 CERT 的漏洞大体处置流程如图 2-3 所示：图 2-3 漏洞处置流程通过奇安信 CERT 的实践，此流程已经可以做到企业级软件高危漏洞全覆盖。漏洞情报输出奇安信 CERT 并不是漏洞情报的搬运工，当监控到漏洞情报后，经过我们的处置会依据漏洞评价、影响面、实际影响以及攻击复杂度等多种维度输出漏洞情报。持续为奇安信相关安全产品赋能并且在 2020 年下半年对外推出了 NOX 安全监测平台，该平台可为企业级用户提供更多漏洞相关情报。奇安信 CERT 可输出的漏洞情报如图 2-4 所示。图 2-4 漏洞情报值得一提的是，风险通告仅作为奇安信 CERT 输出众多漏洞情报的一种，本着客户优先的原则，风险通告更偏向于输出具有实际缓解措施的漏洞情报。所以很多未经验证和没有防护措施的漏洞我们不会急于发布风险通告。除了漏洞监测和响应工作，作为安全研究团队，奇安信 CERT 在漏洞挖掘和漏洞研究方面也有诸多贡献。我们将从漏洞挖掘、漏洞分析、深入研究三个方面阐述奇安信 CERT 2020 年度研究成果。漏洞挖掘 WebLogic WebLogic 是美国 Oracle 公司出品的基于 JavaEE 架构的中间件，用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。将 Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 WebLogic 是世界上第一个成功商业化的 J2EE 应用服务器 , 已推出到 12c(12.2.1.4) 版。近几年 WebLogic 被频繁曝出高危漏洞，其中反序列化漏洞最为严重。

展开阅读全文