根據美國國土安全部2020年發布的資安通告,我們整理出10個最常出現的漏洞,Junos OS與PAN-OS的漏洞公告次數雖然僅有1次,但Juniper設備於電信業者的市占極高,Palo Alto亦是防火牆領導品牌而列入;微軟DNS服務漏洞CVE-2020-1350亦僅有一次通告,是以發出緊急指令的型式,要求所有聯邦機關限期修補,故亦列入名單。

鎖定漏洞攻擊的現象,曾在2018年就有數家資安廠商提出警告,指出利用已知漏洞的攻擊事件會日益氾濫。因為,對於駭客而言,這麼做可以省下自己找尋弱點的工夫。回顧2020年,我們看見有許多大型IT業者的系統,出現CVSS第3版風險層級接近滿分(10分)的漏洞,而這樣的情況有多嚴重?從美國國土安全部一年之內發出3次緊急指令(Emergency Directive),這種史無前例的現象,可以看出端倪。

該單位於2020年發布的命令內容,有2個都與危險程度達滿分的漏洞有關,包含了DNS伺服器漏洞SIGRed(CVE-2020-1350),以及與AD權限擴張有關的Zerologon(CVE-2020-1472)。這樣的態勢,也使得他們在2020年發出緊急指令數量,創下有史以來最多的一年。

大型IT廠商網通與資安產品重大漏洞頻傳,已出現攻擊事件

除了上述的微軟Windows作業系統漏洞,還有許多企業會運用的網路設備,也在2020年被發現這種CVSS風險層級接近滿分的漏洞,這些包含了F5 BIG-IP設備的RCE漏洞CVE-2020-5902、Palo Alto Networks防火牆作業系統(PAN-OS)漏洞CVE-2020-2021,以及2019年底被發現、Citrix於2020年1月修補的CVE-2019-19781漏洞等。而這些漏洞也出現被駭客濫用的案例,例如,2020年8月大型遊輪業者Carnival遭到勒索軟體攻擊,就有資安業者點名該公司被入侵的管道,就是沒有修補CVE-2019-19781的Citrix網路設備。

這種企業應用系統出現重大漏洞的情況,還有SAP Netweaver AS Java的CVE-2020-6287(RECON),以及出現在基礎架構自動化管理系統Salt的CVE-2020-16846與CVE-2020-25592,還有HPE分別針對容器軟體Ezmeral、BlueData EPIC,以及儲存裝置3PAR StoreServ,修補CVSS風險評分接近10分的重大漏洞,也就是CVE-2020-7196與CVE-2020-7197

而在工作站電腦的部分,Dell旗下的精簡型電腦產品線Wyse,存在容易遭到濫用的CVE-2020-29491與CVE-2020-29492。提供端點防護的趨勢企業防毒OfficeScan、Apex One,也被揭露存在CVE-2020-8470、CVE-2020-8598,以及CVE-2020-8599等滿分漏洞,甚至ZDNet報導指出,2019年日本重工業三菱電機遭駭,駭客疑似就濫用該廠牌防毒軟體的部分重大漏洞而得逞。

這種重大漏洞連接於2020年被揭露的現象,也遍及許多領域的解決方案,尤其是與遠距辦公有關的系統,更是受到關注。像是在VMware Workspace One數位工作平臺中,身分管理模組的漏洞CVE-2020-4006,在公布一個月後,就傳出被用來發動攻擊的情況。

再者,視訊會議系統和協作平臺也是漏洞頻傳,不只有因中國人創業與系統設計瑕疵接連引發各界關注的Zoom,還有思科的WebEx、Jabber,以及微軟Teams等,能夠藉著傳送惡意訊息發動攻擊的漏洞,也是時有所聞。

開機程式與通訊協定漏洞影響層面甚廣,恐波及數億臺裝置

有些在2020年被發現的漏洞,不僅危害程度非常嚴重,同時影響範圍還擴及各式的系統。例如,開源開機程式Grub2存在的漏洞BootHole(CVE-2020-10713),影響所有執行安全開機的個人電腦、伺服器,以及物聯網裝置等,不僅各大版本Linux業者相繼修補,就連微軟也發出安全公告,並提供安全開機DBX黑名單更新檔案。

而這樣的情況,也出現在協定層面的漏洞,涉及的範圍同樣相當廣泛。資安研究人員在2020年揭露此種型態的漏洞,包含了存在於TCP/IP網路協定程式庫的Ripple20,與4項TCP/IP堆疊元件有關的Amnesia:33;而出現在網域名稱系統(DNS)的漏洞,包含了可被用於快取污染(Cache Poisoning)攻擊的SAD DNS,以及查詢遞迴漏洞NXNSAttack等,這種型態的漏洞發現,研究人員粗估影響10億臺裝置。

不只是有線的網路通訊協定存在嚴重漏洞,無線通訊也存在類似的情況,例如,存在於Wi-Fi晶片的Kr00k(CVE-2019-15126),還有出現在藍牙協定的BLURtooth(CVE-2020-15802)、SweynTooth等。由於此類漏洞牽涉範圍甚廣,需要許多廠商修補自家裝置才能緩解,後續引發的效應為何?在新的一年也相當值得觀察。


Advertisement

更多 iThome相關內容