新闻 【2021资安大预测】趋势2：漏洞攻击｜CVSS近满分漏洞频传，企业难以招架 在2020年，不断有风险程度近10分的漏洞遭到揭露，遍及各种应用系统与网路设备，甚至 不久之後就出现攻击行动，这种态势很可能会在2021年延续 https://www.ithome.com.tw/news/142112 新闻 【2021资安大预测】趋势2：漏洞攻击｜CVSS近满分漏洞频传，企业难以招架 在2020年，不断有风险程度近10分的漏洞遭到揭露，遍及各种应用系统与网路设备，甚至 不久之後就出现攻击行动，这种态势很可能会在2021年延续 按赞加入iThome粉丝团 文/周峻佑 | 2021-01-11发表 根据美国国土安全部2020年发布的资安通告，我们整理出10个最常出现的漏洞，Junos OS 与PAN-OS的漏洞公告次数虽然仅有1次，但Juniper设备於电信业者的市占极高，Palo Alt o亦是防火墙领导品牌而列入；微软DNS服务漏洞CVE-2020-1350亦仅有一次通告，是以发 出紧急指令的型式，要求所有联邦机关限期修补，故亦列入名单。 锁定漏洞攻击的现象，曾在2018年就有数家资安厂商提出警告，指出利用已知漏洞的攻击 事件会日益泛滥。因为，对於骇客而言，这麽做可以省下自己找寻弱点的工夫。回顾2020 年，我们看见有许多大型IT业者的系统，出现CVSS第3版风险层级接近满分（10分）的漏 洞，而这样的情况有多严重？从美国国土安全部一年之内发出3次紧急指令（Emergency D irective），这种史无前例的现象，可以看出端倪。 该单位於2020年发布的命令内容，有2个都与危险程度达满分的漏洞有关，包含了DNS伺服 器漏洞SIGRed（CVE-2020-1350），以及与AD权限扩张有关的Zerologon（CVE-2020-1472 ）。这样的态势，也使得他们在2020年发出紧急指令数量，创下有史以来最多的一年。 新闻 【2021资安大预测】趋势2：漏洞攻击｜CVSS近满分漏洞频传，企业难以招架 在2020年，不断有风险程度近10分的漏洞遭到揭露，遍及各种应用系统与网路设备，甚至 不久之後就出现攻击行动，这种态势很可能会在2021年延续 按赞加入iThome粉丝团 文/周峻佑 | 2021-01-11发表 根据美国国土安全部2020年发布的资安通告，我们整理出10个最常出现的漏洞，Junos OS 与PAN-OS的漏洞公告次数虽然仅有1次，但Juniper设备於电信业者的市占极高，Palo Alt o亦是防火墙领导品牌而列入；微软DNS服务漏洞CVE-2020-1350亦仅有一次通告，是以发 出紧急指令的型式，要求所有联邦机关限期修补，故亦列入名单。 锁定漏洞攻击的现象，曾在2018年就有数家资安厂商提出警告，指出利用已知漏洞的攻击 事件会日益泛滥。因为，对於骇客而言，这麽做可以省下自己找寻弱点的工夫。回顾2020 年，我们看见有许多大型IT业者的系统，出现CVSS第3版风险层级接近满分（10分）的漏 洞，而这样的情况有多严重？从美国国土安全部一年之内发出3次紧急指令（Emergency D irective），这种史无前例的现象，可以看出端倪。 该单位於2020年发布的命令内容，有2个都与危险程度达满分的漏洞有关，包含了DNS伺服 器漏洞SIGRed（CVE-2020-1350），以及与AD权限扩张有关的Zerologon（CVE-2020-1472 ）。这样的态势，也使得他们在2020年发出紧急指令数量，创下有史以来最多的一年。 大型IT厂商网通与资安产品重大漏洞频传，已出现攻击事件 除了上述的微软Windows作业系统漏洞，还有许多企业会运用的网路设备，也在2020年被 发现这种CVSS风险层级接近满分的漏洞，这些包含了F5 BIG-IP设备的RCE漏洞CVE-2020-5 902、Palo Alto Networks防火墙作业系统（PAN-OS）漏洞CVE-2020-2021，以及2019年底 被发现、Citrix於2020年1月修补的CVE-2019-19781漏洞等。而这些漏洞也出现被骇客滥 用的案例，例如，2020年8月大型游轮业者Carnival遭到勒索软体攻击，就有资安业者点 名该公司被入侵的管道，就是没有修补CVE-2019-19781的Citrix网路设备。 这种企业应用系统出现重大漏洞的情况，还有SAP Netweaver AS Java的CVE-2020-6287（ RECON），以及出现在基础架构自动化管理系统Salt的CVE-2020-16846与CVE-2020-25592 ，还有HPE分别针对容器软体Ezmeral、BlueData EPIC，以及储存装置3PAR StoreServ， 修补CVSS风险评分接近10分的重大漏洞，也就是CVE-2020-7196与CVE-2020-7197。 而在工作站电脑的部分，Dell旗下的精简型电脑产品线Wyse，存在容易遭到滥用的CVE-20 20-29491与CVE-2020-29492。提供端点防护的趋势企业防毒OfficeScan、Apex One，也被 揭露存在CVE-2020-8470、CVE-2020-8598，以及CVE-2020-8599等满分漏洞，甚至ZDNet报 导指出，2019年日本重工业三菱电机遭骇，骇客疑似就滥用该厂牌防毒软体的部分重大漏 洞而得逞。 这种重大漏洞连接於2020年被揭露的现象，也遍及许多领域的解决方案，尤其是与远距办 公有关的系统，更是受到关注。像是在VMware Workspace One数位工作平台中，身分管理 模组的漏洞CVE-2020-4006，在公布一个月後，就传出被用来发动攻击的情况。 再者，视讯会议系统和协作平台也是漏洞频传，不只有因中国人创业与系统设计瑕疵接连 引发各界关注的Zoom，还有思科的WebEx、Jabber，以及微软Teams等，能够藉着传送恶意 讯息发动攻击的漏洞，也是时有所闻。 开机程式与通讯协定漏洞影响层面甚广，恐波及数亿台装置 有些在2020年被发现的漏洞，不仅危害程度非常严重，同时影响范围还扩及各式的系统。 例如，开源开机程式Grub2存在的漏洞BootHole（CVE-2020-10713），影响所有执行安全 开机的个人电脑、伺服器，以及物联网装置等，不仅各大版本Linux业者相继修补，就连 微软也发出安全公告，并提供安全开机DBX黑名单更新档案。 而这样的情况，也出现在协定层面的漏洞，涉及的范围同样相当广泛。资安研究人员在20 20年揭露此种型态的漏洞，包含了存在於TCP/IP网路协定程式库的Ripple20，与4项TCP/I P堆叠元件有关的Amnesia:33；而出现在网域名称系统（DNS）的漏洞，包含了可被用於快 取污染（Cache Poisoning）攻击的SAD DNS，以及查询递回漏洞NXNSAttack等，这种型态 的漏洞发现，研究人员粗估影响10亿台装置。 不只是有线的网路通讯协定存在严重漏洞，无线通讯也存在类似的情况，例如，存在於Wi -Fi晶片的Kr00k（CVE-2019-15126），还有出现在蓝牙协定的BLURtooth（CVE-2020-1580 2）、SweynTooth等。由於此类漏洞牵涉范围甚广，需要许多厂商修补自家装置才能缓解 ，後续引发的效应为何？在新的一年也相当值得观察。 -- https://i.imgur.com/nP9UthL.jpg https://i.imgur.com/xnnmEp5.jpg https://i.imgur.com/9GAOk0A.jpg https://i.imgur.com/QX3V0WS.jpg https://i.imgur.com/jOy1xLA.jpg --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.41.234.42 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1610882315.A.E38.html