作者rtyujlk (BCSYSOP各30篇R神)
看板AntiVirus
标题[情报] 2021年资安大预测,延续近10分漏洞攻击
时间Sun Jan 17 19:18:33 2021
新闻
【2021资安大预测】趋势2:漏洞攻击|CVSS近满分漏洞频传,企业难以招架
在2020年,不断有风险程度近10分的漏洞遭到揭露,遍及各种应用系统与网路设备,甚至
不久之後就出现攻击行动,这种态势很可能会在2021年延续
https://www.ithome.com.tw/news/142112
新闻
【2021资安大预测】趋势2:漏洞攻击|CVSS近满分漏洞频传,企业难以招架
在2020年,不断有风险程度近10分的漏洞遭到揭露,遍及各种应用系统与网路设备,甚至
不久之後就出现攻击行动,这种态势很可能会在2021年延续
按赞加入iThome粉丝团
文/周峻佑 | 2021-01-11发表
根据美国国土安全部2020年发布的资安通告,我们整理出10个最常出现的漏洞,Junos OS
与PAN-OS的漏洞公告次数虽然仅有1次,但Juniper设备於电信业者的市占极高,Palo Alt
o亦是防火墙领导品牌而列入;微软DNS服务漏洞CVE-2020-1350亦仅有一次通告,是以发
出紧急指令的型式,要求所有联邦机关限期修补,故亦列入名单。
锁定漏洞攻击的现象,曾在2018年就有数家资安厂商提出警告,指出利用已知漏洞的攻击
事件会日益泛滥。因为,对於骇客而言,这麽做可以省下自己找寻弱点的工夫。回顾2020
年,我们看见有许多大型IT业者的系统,出现CVSS第3版风险层级接近满分(10分)的漏
洞,而这样的情况有多严重?从美国国土安全部一年之内发出3次紧急指令(Emergency D
irective),这种史无前例的现象,可以看出端倪。
该单位於2020年发布的命令内容,有2个都与危险程度达满分的漏洞有关,包含了DNS伺服
器漏洞SIGRed(CVE-2020-1350),以及与AD权限扩张有关的Zerologon(CVE-2020-1472
)。这样的态势,也使得他们在2020年发出紧急指令数量,创下有史以来最多的一年。
新闻
【2021资安大预测】趋势2:漏洞攻击|CVSS近满分漏洞频传,企业难以招架
在2020年,不断有风险程度近10分的漏洞遭到揭露,遍及各种应用系统与网路设备,甚至
不久之後就出现攻击行动,这种态势很可能会在2021年延续
按赞加入iThome粉丝团
文/周峻佑 | 2021-01-11发表
根据美国国土安全部2020年发布的资安通告,我们整理出10个最常出现的漏洞,Junos OS
与PAN-OS的漏洞公告次数虽然仅有1次,但Juniper设备於电信业者的市占极高,Palo Alt
o亦是防火墙领导品牌而列入;微软DNS服务漏洞CVE-2020-1350亦仅有一次通告,是以发
出紧急指令的型式,要求所有联邦机关限期修补,故亦列入名单。
锁定漏洞攻击的现象,曾在2018年就有数家资安厂商提出警告,指出利用已知漏洞的攻击
事件会日益泛滥。因为,对於骇客而言,这麽做可以省下自己找寻弱点的工夫。回顾2020
年,我们看见有许多大型IT业者的系统,出现CVSS第3版风险层级接近满分(10分)的漏
洞,而这样的情况有多严重?从美国国土安全部一年之内发出3次紧急指令(Emergency D
irective),这种史无前例的现象,可以看出端倪。
该单位於2020年发布的命令内容,有2个都与危险程度达满分的漏洞有关,包含了DNS伺服
器漏洞SIGRed(CVE-2020-1350),以及与AD权限扩张有关的Zerologon(CVE-2020-1472
)。这样的态势,也使得他们在2020年发出紧急指令数量,创下有史以来最多的一年。
大型IT厂商网通与资安产品重大漏洞频传,已出现攻击事件
除了上述的微软Windows作业系统漏洞,还有许多企业会运用的网路设备,也在2020年被
发现这种CVSS风险层级接近满分的漏洞,这些包含了F5 BIG-IP设备的RCE漏洞CVE-2020-5
902、Palo Alto Networks防火墙作业系统(PAN-OS)漏洞CVE-2020-2021,以及2019年底
被发现、Citrix於2020年1月修补的CVE-2019-19781漏洞等。而这些漏洞也出现被骇客滥
用的案例,例如,2020年8月大型游轮业者Carnival遭到勒索软体攻击,就有资安业者点
名该公司被入侵的管道,就是没有修补CVE-2019-19781的Citrix网路设备。
这种企业应用系统出现重大漏洞的情况,还有SAP Netweaver AS Java的CVE-2020-6287(
RECON),以及出现在基础架构自动化管理系统Salt的CVE-2020-16846与CVE-2020-25592
,还有HPE分别针对容器软体Ezmeral、BlueData EPIC,以及储存装置3PAR StoreServ,
修补CVSS风险评分接近10分的重大漏洞,也就是CVE-2020-7196与CVE-2020-7197。
而在工作站电脑的部分,Dell旗下的精简型电脑产品线Wyse,存在容易遭到滥用的CVE-20
20-29491与CVE-2020-29492。提供端点防护的趋势企业防毒OfficeScan、Apex One,也被
揭露存在CVE-2020-8470、CVE-2020-8598,以及CVE-2020-8599等满分漏洞,甚至ZDNet报
导指出,2019年日本重工业三菱电机遭骇,骇客疑似就滥用该厂牌防毒软体的部分重大漏
洞而得逞。
这种重大漏洞连接於2020年被揭露的现象,也遍及许多领域的解决方案,尤其是与远距办
公有关的系统,更是受到关注。像是在VMware Workspace One数位工作平台中,身分管理
模组的漏洞CVE-2020-4006,在公布一个月後,就传出被用来发动攻击的情况。
再者,视讯会议系统和协作平台也是漏洞频传,不只有因中国人创业与系统设计瑕疵接连
引发各界关注的Zoom,还有思科的WebEx、Jabber,以及微软Teams等,能够藉着传送恶意
讯息发动攻击的漏洞,也是时有所闻。
开机程式与通讯协定漏洞影响层面甚广,恐波及数亿台装置
有些在2020年被发现的漏洞,不仅危害程度非常严重,同时影响范围还扩及各式的系统。
例如,开源开机程式Grub2存在的漏洞BootHole(CVE-2020-10713),影响所有执行安全
开机的个人电脑、伺服器,以及物联网装置等,不仅各大版本Linux业者相继修补,就连
微软也发出安全公告,并提供安全开机DBX黑名单更新档案。
而这样的情况,也出现在协定层面的漏洞,涉及的范围同样相当广泛。资安研究人员在20
20年揭露此种型态的漏洞,包含了存在於TCP/IP网路协定程式库的Ripple20,与4项TCP/I
P堆叠元件有关的Amnesia:33;而出现在网域名称系统(DNS)的漏洞,包含了可被用於快
取污染(Cache Poisoning)攻击的SAD DNS,以及查询递回漏洞NXNSAttack等,这种型态
的漏洞发现,研究人员粗估影响10亿台装置。
不只是有线的网路通讯协定存在严重漏洞,无线通讯也存在类似的情况,例如,存在於Wi
-Fi晶片的Kr00k(CVE-2019-15126),还有出现在蓝牙协定的BLURtooth(CVE-2020-1580
2)、SweynTooth等。由於此类漏洞牵涉范围甚广,需要许多厂商修补自家装置才能缓解
,後续引发的效应为何?在新的一年也相当值得观察。
--
https://i.imgur.com/nP9UthL.jpg
https://i.imgur.com/xnnmEp5.jpg
https://i.imgur.com/9GAOk0A.jpg
https://i.imgur.com/QX3V0WS.jpg
https://i.imgur.com/jOy1xLA.jpg
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.41.234.42 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1610882315.A.E38.html