新聞 【2021資安大預測】趨勢2：漏洞攻擊｜CVSS近滿分漏洞頻傳，企業難以招架 在2020年，不斷有風險程度近10分的漏洞遭到揭露，遍及各種應用系統與網路設備，甚至 不久之後就出現攻擊行動，這種態勢很可能會在2021年延續 https://www.ithome.com.tw/news/142112 新聞 【2021資安大預測】趨勢2：漏洞攻擊｜CVSS近滿分漏洞頻傳，企業難以招架 在2020年，不斷有風險程度近10分的漏洞遭到揭露，遍及各種應用系統與網路設備，甚至 不久之後就出現攻擊行動，這種態勢很可能會在2021年延續 按讚加入iThome粉絲團 文/周峻佑 | 2021-01-11發表 根據美國國土安全部2020年發布的資安通告，我們整理出10個最常出現的漏洞，Junos OS 與PAN-OS的漏洞公告次數雖然僅有1次，但Juniper設備於電信業者的市占極高，Palo Alt o亦是防火牆領導品牌而列入；微軟DNS服務漏洞CVE-2020-1350亦僅有一次通告，是以發 出緊急指令的型式，要求所有聯邦機關限期修補，故亦列入名單。 鎖定漏洞攻擊的現象，曾在2018年就有數家資安廠商提出警告，指出利用已知漏洞的攻擊 事件會日益氾濫。因為，對於駭客而言，這麼做可以省下自己找尋弱點的工夫。回顧2020 年，我們看見有許多大型IT業者的系統，出現CVSS第3版風險層級接近滿分（10分）的漏 洞，而這樣的情況有多嚴重？從美國國土安全部一年之內發出3次緊急指令（Emergency D irective），這種史無前例的現象，可以看出端倪。 該單位於2020年發布的命令內容，有2個都與危險程度達滿分的漏洞有關，包含了DNS伺服 器漏洞SIGRed（CVE-2020-1350），以及與AD權限擴張有關的Zerologon（CVE-2020-1472 ）。這樣的態勢，也使得他們在2020年發出緊急指令數量，創下有史以來最多的一年。 新聞 【2021資安大預測】趨勢2：漏洞攻擊｜CVSS近滿分漏洞頻傳，企業難以招架 在2020年，不斷有風險程度近10分的漏洞遭到揭露，遍及各種應用系統與網路設備，甚至 不久之後就出現攻擊行動，這種態勢很可能會在2021年延續 按讚加入iThome粉絲團 文/周峻佑 | 2021-01-11發表 根據美國國土安全部2020年發布的資安通告，我們整理出10個最常出現的漏洞，Junos OS 與PAN-OS的漏洞公告次數雖然僅有1次，但Juniper設備於電信業者的市占極高，Palo Alt o亦是防火牆領導品牌而列入；微軟DNS服務漏洞CVE-2020-1350亦僅有一次通告，是以發 出緊急指令的型式，要求所有聯邦機關限期修補，故亦列入名單。 鎖定漏洞攻擊的現象，曾在2018年就有數家資安廠商提出警告，指出利用已知漏洞的攻擊 事件會日益氾濫。因為，對於駭客而言，這麼做可以省下自己找尋弱點的工夫。回顧2020 年，我們看見有許多大型IT業者的系統，出現CVSS第3版風險層級接近滿分（10分）的漏 洞，而這樣的情況有多嚴重？從美國國土安全部一年之內發出3次緊急指令（Emergency D irective），這種史無前例的現象，可以看出端倪。 該單位於2020年發布的命令內容，有2個都與危險程度達滿分的漏洞有關，包含了DNS伺服 器漏洞SIGRed（CVE-2020-1350），以及與AD權限擴張有關的Zerologon（CVE-2020-1472 ）。這樣的態勢，也使得他們在2020年發出緊急指令數量，創下有史以來最多的一年。 大型IT廠商網通與資安產品重大漏洞頻傳，已出現攻擊事件 除了上述的微軟Windows作業系統漏洞，還有許多企業會運用的網路設備，也在2020年被 發現這種CVSS風險層級接近滿分的漏洞，這些包含了F5 BIG-IP設備的RCE漏洞CVE-2020-5 902、Palo Alto Networks防火牆作業系統（PAN-OS）漏洞CVE-2020-2021，以及2019年底 被發現、Citrix於2020年1月修補的CVE-2019-19781漏洞等。而這些漏洞也出現被駭客濫 用的案例，例如，2020年8月大型遊輪業者Carnival遭到勒索軟體攻擊，就有資安業者點 名該公司被入侵的管道，就是沒有修補CVE-2019-19781的Citrix網路設備。 這種企業應用系統出現重大漏洞的情況，還有SAP Netweaver AS Java的CVE-2020-6287（ RECON），以及出現在基礎架構自動化管理系統Salt的CVE-2020-16846與CVE-2020-25592 ，還有HPE分別針對容器軟體Ezmeral、BlueData EPIC，以及儲存裝置3PAR StoreServ， 修補CVSS風險評分接近10分的重大漏洞，也就是CVE-2020-7196與CVE-2020-7197。 而在工作站電腦的部分，Dell旗下的精簡型電腦產品線Wyse，存在容易遭到濫用的CVE-20 20-29491與CVE-2020-29492。提供端點防護的趨勢企業防毒OfficeScan、Apex One，也被 揭露存在CVE-2020-8470、CVE-2020-8598，以及CVE-2020-8599等滿分漏洞，甚至ZDNet報 導指出，2019年日本重工業三菱電機遭駭，駭客疑似就濫用該廠牌防毒軟體的部分重大漏 洞而得逞。 這種重大漏洞連接於2020年被揭露的現象，也遍及許多領域的解決方案，尤其是與遠距辦 公有關的系統，更是受到關注。像是在VMware Workspace One數位工作平臺中，身分管理 模組的漏洞CVE-2020-4006，在公布一個月後，就傳出被用來發動攻擊的情況。 再者，視訊會議系統和協作平臺也是漏洞頻傳，不只有因中國人創業與系統設計瑕疵接連 引發各界關注的Zoom，還有思科的WebEx、Jabber，以及微軟Teams等，能夠藉著傳送惡意 訊息發動攻擊的漏洞，也是時有所聞。 開機程式與通訊協定漏洞影響層面甚廣，恐波及數億臺裝置 有些在2020年被發現的漏洞，不僅危害程度非常嚴重，同時影響範圍還擴及各式的系統。 例如，開源開機程式Grub2存在的漏洞BootHole（CVE-2020-10713），影響所有執行安全 開機的個人電腦、伺服器，以及物聯網裝置等，不僅各大版本Linux業者相繼修補，就連 微軟也發出安全公告，並提供安全開機DBX黑名單更新檔案。 而這樣的情況，也出現在協定層面的漏洞，涉及的範圍同樣相當廣泛。資安研究人員在20 20年揭露此種型態的漏洞，包含了存在於TCP/IP網路協定程式庫的Ripple20，與4項TCP/I P堆疊元件有關的Amnesia:33；而出現在網域名稱系統（DNS）的漏洞，包含了可被用於快 取污染（Cache Poisoning）攻擊的SAD DNS，以及查詢遞迴漏洞NXNSAttack等，這種型態 的漏洞發現，研究人員粗估影響10億臺裝置。 不只是有線的網路通訊協定存在嚴重漏洞，無線通訊也存在類似的情況，例如，存在於Wi -Fi晶片的Kr00k（CVE-2019-15126），還有出現在藍牙協定的BLURtooth（CVE-2020-1580 2）、SweynTooth等。由於此類漏洞牽涉範圍甚廣，需要許多廠商修補自家裝置才能緩解 ，後續引發的效應為何？在新的一年也相當值得觀察。 -- https://i.imgur.com/nP9UthL.jpg https://i.imgur.com/xnnmEp5.jpg https://i.imgur.com/9GAOk0A.jpg https://i.imgur.com/QX3V0WS.jpg https://i.imgur.com/jOy1xLA.jpg --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.41.234.42 (臺灣) ※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1610882315.A.E38.html