漏洞是在硬件、軟件、協定的具體實作或作業系統安全策略上存在的缺陷,從而使攻擊者能夠在未經授權的情況下存取或者破壞系統。發現並進行漏洞利用是獲得系統控制許可權的重要途徑,當傳統的系統&套用在數碼時代與越來越多的新興技術產生碰撞之時,漏洞數量也正以不可思議速度逐年增長。
安全419此前留意到保險科技初創企業Corvus Insurance釋出的一份報告,該報告就指出漏洞利用已經成為頭號威脅行為者勒索軟件攻擊頭號初始存取路徑:「 勒索軟件攻擊受害者現在越來越多地利用漏洞進行攻擊,而不是使用網絡釣魚電子郵件。 」我們也能夠看到,當MOVEit單個漏洞就能在2023年對近數千家企業造成影響,可見漏洞問題仍然是安全的最大威脅。
2023年漏洞及未來趨勢
我們來看一下以下的幾組公開數據:
思科威脅檢測與響應首席工程師Jerry Gamblin前不久披露指出, 2023年共釋出了28902個CVE ,比2022年釋出的25081個CVE增長了15%以上。換算下來, 平均每天釋出79.18個CVE 。自2017年以來,已釋出的CVE數量一直在穩步增加,Jerry Gamblin還透過一套模型(Kalman Filter)對2024年可能的CVE數量進行了預測,盡管32600個CVE預測數量肯定不會是任何人想要看到的最終結果。
根據安全公司Qualys釋出的「2023 年網絡威脅安全回顧」報告顯示, 2023年全球共披露了26447個電腦漏洞 ,為「歷年之最」,相比去年的25050個漏洞,多了5.2%。漏洞數量是危險的一方面,在已披露的漏洞中,有超過7000個漏洞具有「概念驗證利用程式碼」,206個漏洞具有可用的武器化利用程式碼,其中有115個漏洞已經被黑客「廣泛利用」。
國內網安上市公司天融信釋出的【2023年網絡空間安全漏洞態勢分析研究報告】數據顯示, 2023年,天融信Alpha實驗室透過漏洞監測系統共監測發現各類漏洞資訊35762條 ,經過漏洞監測系統自動智能篩選後留存高危漏洞資訊361條。報告指出,從漏洞發展的趨勢來看,未來零日漏洞的利用將繼續增長。其中新興技術領域成為重點攻擊物件:雲端運算、物聯網、車聯網、人工智能等新興技術將繼續成為安全漏洞的重點領域。
Tenable Research團隊統計了2023年微軟星期二修補程式數據指出, 2023年,微軟共修補了909個漏洞 ,比2022年的917個漏洞略微下降0.87%。該團隊評價指出:「回顧2023年的修補程式星期二,我們看到修補程式的CVE數量與2022年的數碼一致,與2020年的峰值相差甚遠。盡管總體數碼如此,但由於各種微軟產品中存在幾個零日漏洞和一些關鍵漏洞,2023年的修補程式星期二仍然是多事之秋。」
國內網安廠商微步線上最近釋出的【2023年漏洞情報年報】顯示,2023年共捕獲了29000+條漏洞情報 ,比2022年增長4000多個漏洞。根據微步線上自有安全產品以及其掌握的黑客攻擊大數據來看,漏洞在野攻擊方面全網漏洞利用行為累計超過41億次,其捕獲的攻擊IP數量超過130萬個。另外,黑客主要利用已知的1300+個漏洞進行攻擊,其中2023年新增的主要漏洞利用有255個,這些漏洞當中超過90%都是遠端漏洞。
從以上網絡安全機構所披露出來的數據來看,盡管沒有權威機構能夠精準報告過去一年以來的漏洞數量,但總體上漏洞數量連年增長已成事實。此外安全廠商還額外指出,從已知的漏洞利用數據上看,漏洞涉及廣泛的作業系統和應用程式,這表明幾乎沒有程式是攻擊者觸及不到的,攻擊者為了達到目的,會利用任何軟件的漏洞對業務系統進行攻擊。
漏洞利用速度加快 零日漏洞攻擊增多
CheckPoint釋出的【2023年p網絡安全報告】指出,2023年新發現的漏洞幾乎立即就會被攻擊者利用和實施。有一組數據也對應了這種趨勢的增長,其中2023年上半年有28%的攻擊利用了新的漏洞,而2022年上半年這一數據為20%,2021年上半年為17%。這表明攻擊者正在加速將新的漏洞整合到經常使用的漏洞攻擊庫當中。
Qualys釋出的「2023 年網絡威脅安全回顧」也在攻擊者漏洞利用速度上做過總結,其指出 2023年高危漏洞「平均被黑客利用的時間」約為44天 ,其中 25%漏洞在公布當天就能夠被黑客利用,75%的漏洞在釋出後19天內被利用 。
微步線上也幾乎給出了同樣的數據,據【2023年漏洞情報年報】顯示,25.5%的高風險漏洞在釋出當天就被利用,75%的高風險漏洞在釋出後22天內被利用 。其給出的結論是攻擊者漏洞利用的效率在不斷提升,也因此企業一側的漏洞響應時間視窗正在不斷縮小。
在零日漏洞利用方面,谷歌威脅分析小組去年7月給出了近年來的趨勢分析指出,2021年野外利用零日漏洞數量(69個)創下歷史新高,2022年有所下滑,但2023年隨著重大零日漏洞利用事件的大幅增長,零日漏洞攻擊重新升溫,從商業間諜到勒索軟件攻擊,零日漏洞被廣泛使用。
微步線上【2023年漏洞情報年報】指出,2023年的攻防實戰案例和重大威脅事件來看,零日漏洞已經成為攻擊者的常規儲備,其漏洞利用的頻率和規模都在不斷上升。對於企業來說,縮短和攻擊者掌握零日漏洞的時間差迫在眉睫,企業應盡可能提前掌握零日漏洞情報,提前加固並收斂暴露面。
漏洞防禦之道 第三方專業力量不可或缺
IBM釋出的2023年版本【數據泄露成本報告】數據顯示,2023年全球數據泄露的平均成本達到445萬美元 ,創該報告有史以來最高紀錄。這份報告還關註到了另外一個點,其額外指出時期內檢測安全漏洞和漏洞惡化帶來的安全成本上升了42%,占安全漏洞總成本的比值也來到史上最高。這也表明,企業應對漏洞的調查和處理正在變得更加復雜。
該報告還進一步指出,自主發現漏洞的組織所承受的漏洞損失,比由攻擊者披露所承受的損失低了近100萬美元(前者430萬美元,而後者達523萬美元 )。「早期檢測和快速響應可以顯著降低安全漏洞的影響」則是IBM安全團隊給出結論。換言之,安全團隊必須重視對手的發現和利用漏洞這一殺手鐧,併集中力量阻止對方攻擊。
此前,賽博昆侖創始人兼CEO鄭文彬在接受安全419專訪談及近年來漏洞利用趨勢就指出,為什麽國內乃至全球的勒索軟件攻擊不斷發生,就是因為始終解決不好勒索組織利用漏洞作為源頭的初始攻擊問題,其中漏洞利用的有效性始終排名首位,修不好防不住一直存在,企業還是需要重視起來,引入有效地創新的安全解決方案。
大型網絡安全廠商也向安全419表示,之所以企業和組織總是會被已經爆出的漏洞所攻擊(突破),主要是仍然有大量的企業沒有建立起有效的應對方法論,包括應急預案、安全防護產品和工具。如果僅以自身的力量來對抗黑客攻擊,相關運維人員恐怕要付出200%的精力也難以平衡自身安全。
在 漏洞的具體防範方面,Qualys的建議是利用漏洞優先級技術 ,即優先解決存在野外利用的高風險漏洞,以實作有效的風險管理。另外,漏洞頻發帶來的高風險也警醒著企業必須做好軟件安全監測和評估工作,一個靠譜的第三方測試機構是一個必須認真思考的問題。
天融信【2023年網絡空間安全漏洞態勢分析研究報告】給出的具體安全防護建議是應實施嚴格的供應商審查機制,以防範供應鏈攻擊;另外也需要建立系統的漏洞管理體系,以應對安全漏洞威脅。在供應鏈安全方面,需要解決的不僅是自身系統的漏洞問題,此前世界經濟論壇釋出的最新網絡安全展望報告也重點強調了供應鏈安全問題,這方面對外需要強化供應商的安全能力評估,另外開源軟件也需要進行對應的程式碼審查。
微步線上給到企業的建議則是企業應將有限的資源傾斜到那些高風險漏洞之上,應結合威脅情報(例如PoC是否公開、是否被黑客工具武器化、是否已經發現了攻擊行為)、資產的重要程度、漏洞的技術程度、漏洞的技術特性(如利用的難易程度、利用成功的危害),得出漏洞的實際風險,並根據漏洞實際風險確定漏洞處置優先級。其他方面,企業建立基礎的漏洞防禦能力,必須要做的是對公網資產進行收斂,這方面主要是多數被攻擊者利用的漏洞均為遠端漏洞。
2023典型漏洞利用大事件:
MOVEit漏洞影響千家企業
MOVEit是Progress Software Corporation開發的檔傳輸平台。該平台被世界各地成千上萬的政府、金融機構和其他公共和私營部門機構用來發送和接收資訊。5月31日,Progress Software釋出了一個MOVEit評級為9.8分的嚴重漏洞(CVE-2023-34362)修補程式,此後該漏洞迅速被勒索組織所利用。此後短期內Progress Software還陸續釋出了第二個漏洞(CVE-2023-35036)和第三個漏洞(CVE-2023-35708)。
根據安全廠商EMSISOFT的統計數據顯示,2023年5月份爆發的MOVEit(CVE-2023-34362)漏洞利用事件已導致全球2738家(最新數據)企業受到影響,全面的攻擊事件影響人數超過9000萬人,企業因攻擊事件遭受的損失預計高達百億美元以上。EMSISOFT威脅分析師認為,這「可能是迄今為止最重大的網絡安全事件之一」。
有分析表明,黑客可能早在2021年就知道MOVEit存在漏洞,並且存在早期測試,直到此次大規模事件爆發,這說明黑客掌握了一定的自動化方式從而批次利用。Clop則是本次漏洞利用的主要勒索軟件組織,根據Coveware釋出的追蹤報告顯示,該勒索組織特意提高受攻擊企業的贖金,預計單一漏洞攻擊事件能為Clop帶來至少7500萬美元贖金收入。
GoAnywhere漏洞短期展現驚人殺傷力
GoAnywhere今年爆出的CVE-2023-0669漏洞同樣被黑客大規模利用,該漏洞早期就被安全研究人員發現並表示可能存在被積極利用的可能性。當時,有超過1000台GoAnywhere例項在暴露在互聯網上。最早利用該漏洞進行大規模攻擊的仍然是Clop勒索軟件組織,在最初的一波攻擊中就有130家企業受到了影響。
由於GoAnywhere是在漏洞被披露可能存在利用的第5天才推出修復程式(此前只提供了相關的安全建議),這留給了黑客充裕的利用時間,政府、能源、金融、醫療行業多家知名企業成為攻擊受害者,也充分展現了「零日漏洞+供應鏈攻擊」的可怕之處。
最近,GoAnywhere也再次被爆出新的漏洞CVE-2024-0204(CVSS 評分 9.8),該漏洞是一個身份認證繞過漏洞。未經身份驗證的遠端攻擊者可利用該漏洞,繞過身份認證,透過管理門戶建立管理員使用者。此次,官方也是積極發出預警,以避免再次成為大量安全事情的罪魁禍首。
VMware ESXi遺漏漏洞的再次利用狂潮
受其江湖地位影響,VMware的漏洞影響力總是更為驚人,如同2023年一季度,黑客就利用了VMware早在兩年前就修復了的VMware ESXi(CVE-2021-21974)漏洞成功開展了一波大範圍攻擊,這一次攻擊也正次驗證了幾大事實,比如Nday漏洞仍然具有廣泛的可利用性。
根據後續報道,有訊息源指出多個惡意軟件團伙利用了2021年9月Babuk勒索軟件泄露的原始碼,構建了多達9個針對VMware ESXi系統的不同勒索軟件家族,其變體從2022年下半年至2023年上半年開始出現,這凸顯了勒索軟件對於高價目標的針對性不斷提升,這也讓高價值目標必須解決自身的老舊漏洞問題。
對於CVE-2021-21974漏洞本身,賽博昆侖創始人兼CEO鄭文彬此前評論稱,此前美國燃油管道公司Colonial Pipeline受勒索軟件攻擊事件利用的就是VMware相關漏洞,這一漏洞也是MJ團隊早先就關註到可能被攻擊利用的漏洞之一,在漏洞修復之後的Nday階段,其影響力仍然十分廣泛。「CVE-2021-21974漏洞實際上就是源於此前VMware修復過的‘漏洞遺留’。」
尾話.
漏洞利用的有效性導致攻擊者不會放過任何一個微小的安全漏洞,面對數十萬歷史級的海量漏洞,以及隨時可能被發現並利用的零日漏洞,有效的漏洞管理仍然是企業最關鍵的網絡防禦手段。另外漏洞也是一個大的生態問題,對標、協同,生態當中不同的角色均要肩負自身責任,引入不同角色下的具有針對性的安全解決方案,才能階段性提升並弱化漏洞問題帶來的長遠影響。
