互聯網漏洞安全關乎社會生活方方面面,其殺傷力足以媲美原子彈、核武器一樣的存在好不誇張的說。 2019年典型的“超級漏洞”案例,我們能夠感受到剛過去這一年的“驚心動魄”——1月,360安全研究員發佈的一個內核漏洞的概念驗證PoC,該漏洞可幫遠程攻擊者在不驚動用戶的情況下越獄 iPhone X,訪問目標設備上的數據,利用設備計算能力等等;
2月,19年WinRAR代碼執行漏洞被曝光,利用此漏洞可構造惡意的壓縮文件,誘使受害者下載運行後可完全控制目標電腦,5億以上用戶瞬間陷入壓縮危機;
5月,微軟蠕蟲級漏洞“BlueKeep”曝光,近 100 萬臺設備置於高危漏洞之下。攻擊者一旦成功利用,便可以在目標系統上執行任意代碼,包括獲取敏感信息、執行遠程代碼、發起拒絕服務攻擊,甚至不排除再複製一次WannCry蠕蟲風暴,360等安全廠商加緊發佈免疫工具和緩解措施;
7月,谷歌Project Zero 團隊發現iOS系統存在6個“無交互”安全漏洞,可通過iMessage客戶端直接發動攻擊,而目標用戶無需做任何點擊交互;
8月,英特爾X86處理器高危漏洞Spectre出現變種,該漏洞允許黑客竊取內核內存敏感信息,且不會留下對硬件的攻擊痕跡;
11月,WhatsApp緩衝區溢出漏洞引發DoS/ RCE攻擊,可被用來安裝間諜軟件,Android及 iOS系統雙雙淪陷;
由點及面,再從整體數據來看,全球漏洞體量也在連年攀升。
# 國家信息安全漏洞庫(CNNVD):
CNNVD在2019年公佈的漏洞數量為17316個,全年增長率約為6.26%。
# 美國國家漏洞庫(NVD):
NVD公佈的漏洞數量為17314個,全年增長率約為4.84%。
# 公共漏洞披露平臺(CVE):
CVEdetails公佈的漏洞數量為16778個,全年增長率約為8.06%。
結合近幾年數據來看,漏洞數量逐年增長趨勢毋庸置疑,其背後更是足以震盪全球的安全威脅:老漏洞沉痾難愈,新漏洞層出不窮,大有按下葫蘆起了瓢的架勢。
下面,零日給大家總結一下今年漏洞相關的幾點趨勢。
趨勢1:各類漏洞危機四伏,工控漏洞首當其衝
結合2019年的典型案例來看,通用型漏洞、事件型漏洞分別趨向不同的特徵。
從類型上來說,漏洞整體呈現如下趨勢:
通用型漏洞,底層硬件漏洞或將成為重大殺器;事件型漏洞,數量隨著智能設備發展而猛增。 以英特爾處理器漏洞事件為例,該漏洞基於Spectre(幽靈)、Meltdown(熔斷)等其他CPU漏洞之上,聊天記錄、電子郵件等敏感信息在該漏洞面前與攻擊者坦誠相見。且影響範圍之大,令12年以來的所有英特爾CPU、Intel或AMD處理器的X86-64系統全部列入易受攻擊範圍。以此為代表的底層硬件漏洞,可影響幾乎所有使用相關處理器芯片的計算機設備,可見底層硬件漏洞的破壞力。在通用型漏洞中,底層硬件漏洞因其範圍廣、隱蔽性高、危害大,且具備難以快速修復的特點,將成為“殺手級”網絡攻擊武器。
至於事件型漏洞的發展趨勢,則因智能設備和雲的普及而迅猛增長。
2019年,iOS系統無交互漏洞、藍牙密鑰協商攻擊漏洞就是最典型的例子。
拿藍牙密鑰協商攻擊漏洞來說,包括智能手機、筆記本電腦、智能物聯網設備和工業設備在內的超10億臺藍牙設備,均在其威脅之下。萬物互聯,漏洞威脅如影隨形。
我們應該認識到,隨著物聯網發展智能設備激增,事件型漏洞數量也呈爆發趨勢。另外,零日認為還需要特別注意的一點,工控設備漏洞帶來的深度威脅持續攀升。2019年,媒體曝光美國將網絡攻擊的利刃插入俄羅斯電網系統,隨後又掉轉矛頭劍指伊朗,國家間的網絡攻擊不再是科幻大片橋段。與此同時,全球工業互聯網安全漏洞持續高發,工控設備漏洞不僅關係到行業安全,更成為國家網絡攻防爭奪的戰略高地。 也就是說,工業互聯網的發展導致利用工控設備漏洞攻擊事件的威脅加劇,主動發現工業互聯網設備漏洞對於網絡安全來說至關重要。
趨勢2:各類漏洞行情連年暴漲
既然漏洞的重要性顯而易見,其行情自然也是一片大好。無論是過明路的漏洞軍火商,還是黑市暗網,漏洞的價格每年、甚至每天都在暴漲。先來看“挖洞界二道販子”Zerodium的價格表,安卓漏洞價格最高達250萬美元,出價幾乎是去年的12倍。
對比2017年和2019年的WhatsApp RCE+LPE漏洞價格,Zerodium標價分別為$500,000和 $1000,000,兩年之間身價翻了一倍。
從臺前退回到幕後,黑市上交易的漏洞同樣身價不菲。
在暗網上,漏洞交易服務基本擁有自己的專區專欄,而且交易價格遠高於各大平臺的賞金。一個有價值的Win10漏洞賞金可能只有幾萬美元,而在黑市交易上,其價格可以翻幾倍、幾十倍,甚至是幾百倍。
根據Hacking Team的說法,一個普通的漏洞交易價格也就是在3.5-4.5萬美元之間,賣給他們,價格能翻三倍,更別提那種有價值的iOS漏洞,拿到幾十萬美元稀鬆平常,確實,最新的Flashpoint報告《網絡犯罪商品的定價分析》也告訴我們,暗網上包括漏洞在內的網絡攻擊服務、黑客攻擊工具的價格每天都在上漲。
趨勢3:全球大廠高賞金求安全
暗網漏洞交易黃金萬兩,但有道德操守的黑客通常都會將漏洞提交給各大廠商,畢竟廠商們的賞金也非常可觀,且正在逐年攀升。
獎金數額的提升和範圍擴大皆能表明,廠商們已然意識到了漏洞對安全的重要性。
2010年開始懸賞漏洞的谷歌,其最高基線獎勵從 5000 美元升至15000 美元。2019年,谷歌提升了Chrome、Chrome OS 和Play的漏洞獎勵金額,同時將Android Bug賞金計劃的最高獎金上調至150萬美元。再看微軟,從2012年開始推出了多項針對Windows的漏洞獎勵計劃,Spectre(幽靈)、Meltdown(熔斷)類漏洞賞金最高可達25萬美元。前不久,微軟剛推出的“身份服務漏洞”懸賞計劃,最高單價為10萬美元。
今年,“摳門”的蘋果也一反常態,剛公佈的 “安全漏洞獎勵計劃”將最高賞金提升至100萬美元。
Facebook不僅懸賞金額高,就連通常不予獎勵的第三方應用漏洞也納入懸賞範圍內。除了這些科技巨頭之外,還有類似卡巴斯基的一些安全廠商也有自己的漏洞懸賞計劃。漏洞賞金逐年攀升、懸賞範圍逐步擴大,漏洞之於廠商的重要性不言而喻。
趨勢4:漏洞成國家博弈戰略資源
上升至國家層面,漏洞作為網絡攻防制勝的關鍵,已是重要戰略資源並影響國家博弈。
上文提及,中美國家漏洞庫2019年收錄漏洞接近40000餘個,倘若這些漏洞一旦被用於網絡攻防實戰,無疑將成為國家作戰部隊取之不竭的軍火庫。
在利用漏洞軍火這方面,美國可是前科累累。去年6月,利用未披露漏洞對伊朗導彈系統發起攻擊,美國全面攻陷伊朗導彈系統。
也正是因為漏洞“核武級”的安全威脅,誘發了全球範圍內此消彼長的漏洞軍備競賽。
NSA美國網絡軍火庫就全球撒網,斥巨資長期搜尋漏洞資源,以色列、英國、俄羅斯、印度也緊隨其後,搶佔漏洞資源積極備戰。
趨勢5:漏洞認知存致命短板
網絡安全的底線,取決於最短的那塊板。
相比于軍政領域高度重視,關鍵信息技術設施領域對漏洞的“核級威脅”認知明顯偏低,這正是網絡安全的短板之一。
就拿航空航天這一關鍵信息基礎設施建設來說,2019 POC安全大會上,曾披露Blockstream衛星鏈路衛星調制解調器EDMAC遠程控制功能的物理地址認證缺失漏洞,可被攻擊者用於切斷衛星鏈路。
如若這些漏洞被用於國家間的網絡對抗,失去衛星通信控制的一方,通信、交通、能源和網絡系統都可能遭受滅頂之災。
由此看來,航空航天、電力、水利、石化、冶金、汽車這些關乎國計民生的關鍵基礎設施,不僅安全防護嚴重滯後,甚至還存在防護能力幾乎為零的情況。
零日反思
漏洞這個網絡安全的頑疾,確實有不治恐將深之勢。
每一個漏洞都是開啟全球網絡浩劫的入口,它讓發現者有了危害社會的巨大能量,尤其是在網絡空間國家博弈的情況下,掌握漏洞就如同掌握了軍火武器資源。在漏洞“武器化”的當下,國家、企業與個人都應樹立網絡安全大局觀念,將看不見的威脅轉變成“看得見”的實力。否則,皮之不存,毛將焉附?
