绿盟

绿盟科技

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

曝光|漏洞黑暗森林的“潜规则”

2020-06-24

根据绿盟科技发布的《漏洞发展趋势报告》显示,由于攻击门槛低,十年以上高龄漏洞在攻击事件中仍然被攻击者大量使用。

IMG_256

攻击事件使用到的漏洞"年龄"分布图

十年以上“高龄漏洞”无法退休背后,是大量长期未更新的软件和系统

攻击事件中使用的漏洞和具体的操作系统环境相关,如物理隔离环境下的内网,就可能存在没有及时更新补丁或版本的核心系统、数据库,攻击者一旦进入内网就可以利用这些成熟的漏洞利用代码发起有效的攻击。总体来说随着时间的推移,老的漏洞会不断被修补,新的漏洞不断产生,攻防之间的对抗将会一直持续。

一年65+万次攻击,不死的EternalBlue(永恒之蓝)

漏洞利用是攻击的常用手段,通过对漏洞攻击事件的监测可以掌握攻击者的技术特点、行为习惯,进而可以对攻击者进行行为画像,为漏洞预警提供帮助。2017年4月ShadowBrokers发布了针对Windows操作系统以及其它服务器系统软件的多个高危漏洞利用工具。同年5月,EternalBlue工具被WannaCry勒索软件蠕虫利用,在全球范围大爆发,影响了包括中国在内的多个国家。EternalBlue相关的漏洞主要有CVE-2017-0144、CVE-2017-0145以及CVE-2017-0147,对应Microsoft的安全公告MS17-010。

根据绿盟威胁情报中心监测数据显示,利用CVE-2017-0144的攻击事件共计4919441次,利用CVE-2017-0145的攻击事件共计27276次,利用CVE-2017-0147的攻击事件共计1567618次。可以看到在2019年中,利用这些漏洞的网络攻击持续活跃在真实网络中。

IMG_259

利用EternalBlue漏洞的攻击事件

让安全漏洞可控,全生命周期视角下的蠕虫级RDP漏洞—CVE-2019-0708

2019年5月,Microsoft在当月的安全更新中,对一个新的RDP漏洞CVE-2019-0708发布了警告,该漏洞可以被用作蠕虫攻击,8月又披露了两个类似可用作蠕虫的漏洞CVE-2019-1181/1182。随后的9月针对CVE-2019-0708的可利用攻击脚本被公开。截止2020年3月,绿盟威胁情报中心监测到相关攻击事件87211次。

IMG_261

利用CVE-2019-0708漏洞的攻击事件

在漏洞刚披露的5月份,漏洞的时效性强,并非所有用户都及时修复,漏洞利用价值高,攻击组织在网络中发起攻击,攻击事件出现了短暂的峰值。7月份漏洞利用的代码被公开,更多黑产、脚本小子等攻击者开始使用,攻击事件再次呈现快速增长的趋势。随着攻击事件的持续发生,越来越多的用户开始更新补丁、修复漏洞,针对该漏洞的攻击事件逐渐下降。

攻击者关注稳定、高效的漏洞利用技术

攻击者关注稳定、高效的漏洞利用技术,在漏洞的选择上追求易用性、时效性以及是否能获取目标控制权限的攻击能力。根据绿盟威胁情报中心监测的安全事件,本文整理出了2019年1月-2020年3月与漏洞利用相关的攻击事件,提取了漏洞利用较高的十个漏洞信息。

IMG_263

漏洞利用较高的CVE信息

浏览器漏洞利用占比48.44%,浏览器的更新与防护仍需关注

浏览器作为网络攻击的入口,在实际利用中占比48.44%,影响范围广。浏览器的漏洞种类复杂多样,2009年之前漏洞主要以ActiveX控件和基于栈的缓冲区溢出为主,2013年越界访问、释放后重用等新型漏洞一度呈现快速增长的趋势。近年来,各大浏览器为了提高网页的加载和JavaScript脚本的运行速度,大量使用了即时编译(Just-in-time)系统,一时间JIT引擎成为攻击者主要的目标。

IMG_265

应用软件漏洞利用分布

利用文件格式漏洞的鱼叉式钓鱼攻击,成为网络安全的主要威胁之一

文档类型漏洞中,AcrobatReader为载体的PDF漏洞数量共1823个,占据文档类型的59.07%,但在实际攻击场景中却并不常见,实际利用占比1.19%。Office相关的漏洞数量虽然比PDF格式的要少,但在实际攻击中备受黑客关注,攻击者只需考虑版本兼容,不需过多考虑产品兼容,一个稳定的漏洞利用文档基本可以实现一个产品的全覆盖。

Flash漏洞大限将近,但漏洞安全仍不容忽视

Flash漏洞作为曾经的研究焦点,2015和2016年爆出的漏洞总数占据Flash漏洞的55.09%,在实际利用中占比13.08%。但是Flash漏洞利用不能由单纯的SWF文件完成,需要在浏览器、Office、PDF中以插件的形式来完成攻击。在实际攻击中常以插件形式被嵌套在各种ExploitKit工具包,可以达到稳定利用,更新速度快以及免杀的效果。

开源软件面临漏洞利用和软件供应链的“双重攻击”

开源软件便于研究员进行基于源代码的白盒测试。Web类开源框架的利用代码公开后可以在短时间内被集成到成熟的攻击框架中,降低了漏洞利用的门槛。拥有复杂的处理逻辑,并且广泛使用的开源软件更容易成为研究员或者黑客的目标。随着开源软件开发模式的兴起,针对软件供应链的攻击成为一种新兴威胁,相当于给攻击者的恶意代码披上了“合法”的外衣,传播速度更快,影响范围更广,危害更大,同时也更隐蔽。

一年上涨1082%,移动安全的风暴从未停息

近些年来研究人员对智能终端系统的漏洞关注度逐渐提高,2015年Android系统漏洞整体呈现爆发式增长。其中,Application Framework & Libraries的漏洞总量达130个,同比上涨1082%。2018年8月Google发布的Android 9中,为部分守护进程和内核引入了控制流完整性CFI(Control Flow Integrity)防护机制,能够直接对抗常用ROP/JOP/COOP代码重用利用技巧。新的保护机制的引入和Google对Android系统安全逐渐重视使得2017年后漏洞数量显著减少。

iOS系统由于硬件与软件高度集成,一向以安全著称。2015年iOS系统漏洞总量达369个,同比上涨156.25%。2019年8月Google安全团队公布了5个漏洞利用链及相关联的14个安全漏洞 ,涉及从 iOS 10 到 iOS 12的版本,这无疑为其它攻击者提供了一个很好的着手点,对iOS系统的安全性提出了巨大的挑战。 

IMG_270

Android历年漏洞数量

 

IMG_271

iOS系统历年漏洞数量

物联网成“危”联网

物联网设备数量和种类增长迅速,但是防御措施少。下表给出了2019年物联网漏洞利用数量前十的漏洞信息。

IMG_273

物联网漏洞利用数量Top10

其中CVE-2015-2051、CVE-2017-17215、CVE-2014-8361这三个漏洞都与UPnP协议有关。UPnP使用SOAP协议实现对设备的控制。绿盟科技《2019年物联网安全年报》显示,SOAP服务可访问的设备占UPnP设备总量的46.9%,这些设备中,61%的设备存在中危及以上的漏洞。

已经监测的漏洞利用所对应目标设备以路由器和视频监控设备为主。这些安全问题主要来源于两点,一是由于大多数的固件在出厂时就存在弱口令、甚至无需口令校验的问题,这种不安全的固件配置大大提高了攻击者的攻击效率。二是固件所调用的第三方组件漏洞甚至是操作系统内核漏洞,不能够及时追踪修复。

网络安全的本质是攻与防的对抗,未知攻焉知防,只有在了解了各种攻击技术和手段后才能采取更加有效的防御策略,从而避免安全事件的发生。

<<上一篇

绿盟新一代网页防篡改系统助力企业网站稳定运行

>>下一篇

点对点分析CII与等级保护系列 安全技术部分(三)

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入绿盟科技,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
绿盟科技社区
绿盟科技社区
资料下载|在线问答|技术交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS 绿盟科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号