IT產品老弱殘是資安危機

無論在家中或工作場所，我們每天都與許多IT產品為伍，而在長期使用的過程當中，通常會意識到某些軟硬體需要進行定期或不定期更新，例如，個人電腦、智慧型手機、平板電腦的作業系統每個月可能至少需要進行安全性更新，持續使用幾年後，可能面臨系統升級甚至換機需求。

然而，有些隱身在角落或設置在機房的設備，若沒有刻意安排定期汰換，恐怕用到廠商終止提供產品更新支援，都還不知道繼續使用會面臨更多風險。當然有不少人也明知這樣的IT產品不再可靠，但限於預算不足、更換不便，甚至純粹怕麻煩等原因，仍在隨時可能會出差錯、發生問題等狀態下使用。

最廣為人知的例子當屬小型辦公與家用環境（SOHO）Wi-Fi路由器，經常看到資安新聞媒體報導相關安全性事故，這類設備因系統老舊、廠商不再提供韌體改版升級支援，一旦被有心人士找出資安漏洞，就可能被入侵、綁架，而成為殭屍網路的成員，之後遭濫用而能對各種網路服務發動DDoS攻擊。

最近就有類似事故發生，例如3月28日的iThome資安日報，剛好整理到超大型殭屍網路TheMoon崛起的消息，他們在3月初在短短72小時內，綁架超過6千臺華碩路由器，除此之外，還有其他SOHO路由器、物聯網設備遭駭，這些設備都是處於產品生命週期終止、廠商不再提供支援的狀態，截至今年1月為此，這個惡意網路擴展到擁有4萬臺殭屍裝置、遍及88國，規模相當驚人。

若純粹論及IT產品資安漏洞濫用造成的影響，回顧從2020年至今的資安重大事件當中，負責提供遠端安全連線的IPsec或SSL VPN設備，持續佔據資安新聞版面，如Fortinet、Ivanti/Pulse Secure是最大苦主；以應用程式交付控制器（ADC）著稱的F5、Citrix，也常出現在資安公告；而在應用系統方面，不只許多產品搭配的開放原始碼事件記錄元件Log4j，微軟Exchange、VMware的vSphere與Workspace ONE、Atlassian Confluence，也頻頻列為年度重大漏洞。

至於2023年，CISA目前雖然尚未公布，我們決定依據iThome資安日報一年以來持續報導的新聞內容，權衡全球資安弱點關注態勢，以及臺灣多數企業與組織可能採用的IT系統，選出年度十大資安漏洞。

就前五大漏洞而言，檔案傳輸管理系統（MFT）漏洞消息近幾年延燒，在2023年，當數MOVEit Transfer漏洞CVE-2023-34362影響最顯著，因為勒索軟體Clop利用這個弱點大舉入侵許多企業與組織，引發軒然大波。

在此之前，就有多個MFT類型產品出現重大漏洞而受到關注，像是Accellion FTA、Fortra GoAnywhere（我們列入2023年第五大漏洞），由於這些產品在臺灣不普及，但我們仍很擔心這把火是否燒到MOVEit，可惜的是，雖有前車之鑑，但危機還是發生了。

以普遍使用程度而言，我們將壓縮軟體WinRAR漏洞CVE-2023-38831，以及網頁瀏覽協定HTTP/2漏洞CVE-2023-44487，列在第四名、第五名；而上述提到的網路與資安系統，占了排行榜大宗，像是應用程式交付控制器Citrix NetScaler、郵件伺服器軟體Zimbra、防火牆與VPN設備兆勤（Zyxel）、行動裝置管理平臺Ivanti Endpoint Manager Mobile、路由器平臺Cisco IOS XE，以及郵件安全閘道Barracuda ESG。

「人非聖賢，孰能無過」廠商開發產品、經營市場不容易，更重要的是「知過能改」，不只是關切所供應的產品與服務須有良好品質，用戶導入後的維護與持續使用，更是信任與名譽的長期考驗。

對廠商而言，固然有權決定產品技術支援的廣度、深度，以及持續期間，因此應設法說服用戶更換新機時，還願意繼續信任同一品牌，這取決於廠商自身發展與提供客戶的服務。對用戶而言，也要有產品與服務生命週期概念，需提早規畫汰舊換新的策略，面對既有的IT軟硬體資產，也要關注更新消息，確認汰換升級的實機，而非盲目希望「物盡其用」不願轉移。

當雙方都對彼此有合理的期待與自我要求時，許多IT產品就能在穩健的狀態持續使用，遇到問題，也能互信合作、解決困難。

 相關報導