盘点2019年之漏洞危机:明码标价的漏洞背后,是不治恐将深的安全沉疴

大家好,我是零日情报局。

漏洞之于网络世界,一直是杀伤力足以媲美原子弹、核武器一般的存在。

细数2019年典型的“超级漏洞”案例,我们能够感受到刚过去这一年的“惊心动魄”——

1月,由360安全研究员发布的一个内核漏洞的概念验证(PoC)拉开序幕,该漏洞可帮远程攻击者在不惊动用户的情况下越狱 iPhone X,访问目标设备上的数据,利用设备计算能力等等;

2月,遗留19年之久的WinRAR代码执行漏洞被曝光,利用此漏洞可构造恶意的压缩文件,诱使受害者下载运行后可完全控制目标电脑,5亿以上用户瞬间陷入压缩危机;

5月,微软蠕虫级漏洞“BlueKeep”曝光,近 100 万台设备置于高危漏洞之下。攻击者一旦成功利用,便可以在目标系统上执行任意代码,包括获取敏感信息、执行远程代码、发起拒绝服务攻击,甚至不排除再复制一次WannCry蠕虫风暴,360等安全厂商加紧发布免疫工具和缓解措施;

7月,谷歌Project Zero 团队发现iOS系统存在6个“无交互”安全漏洞,可通过iMessage客户端直接发动攻击,而目标用户无需做任何点击交互;

8月,英特尔X86处理器高危漏洞Spectre出现变种,该漏洞允许黑客窃取内核内存敏感信息,且不会留下对硬件的攻击痕迹;

11月,WhatsApp缓冲区溢出漏洞引发DoS/ RCE攻击,可被用来安装间谍软件,Android及 iOS系统双双沦陷;

由点及面,再从整体数据来看,全球漏洞体量也在连年攀升。

国家信息安全漏洞库(CNNVD):

CNNVD在2019年公布的漏洞数量为17316个,全年增长率约为6.26%。

美国国家漏洞库(NVD):

NVD公布的漏洞数量为17314个,全年增长率约为4.84%。

公共漏洞披露平台(CVE):

CVEdetails公布的漏洞数量为16778个,全年增长率约为8.06%。

结合近几年数据来看,漏洞数量逐年增长趋势毋庸置疑,其背后更是足以震荡全球的安全威胁:老漏洞沉疴难愈,新漏洞层出不穷,大有按下葫芦起了瓢的架势。

下面,零日给大家总结一下今年漏洞相关的几点趋势。

 

趋势1:各类漏洞危机四伏,工控漏洞首当其冲

结合2019年的典型案例来看,通用型漏洞、事件型漏洞分别趋向不同的特征。

从类型上来说,漏洞整体呈现如下趋势:通用型漏洞,底层硬件漏洞或将成为重大杀器;事件型漏洞,数量随着智能设备发展而猛增。

以英特尔处理器漏洞事件为例,该漏洞基于Spectre(幽灵)、Meltdown(熔断)等其他CPU漏洞之上,聊天记录、电子邮件等敏感信息在该漏洞面前与攻击者坦诚相见。

且影响范围之大,令12年以来的所有英特尔CPU、Intel或AMD处理器的X86-64系统全部列入易受攻击范围。以此为代表的底层硬件漏洞,可影响几乎所有使用相关处理器芯片的计算机设备,可见底层硬件漏洞的破坏力。

在通用型漏洞中,底层硬件漏洞因其范围广、隐蔽性高、危害大,且具备难以快速修复的特点,将成为“杀手级”网络攻击武器。

至于事件型漏洞的发展趋势,则因智能设备和云的普及而迅猛增长。

2019年,iOS系统无交互漏洞、蓝牙密钥协商攻击漏洞就是最典型的例子。

拿蓝牙密钥协商攻击漏洞来说,包括智能手机、笔记本电脑、智能物联网设备和工业设备在内的超10亿台蓝牙设备,均在其威胁之下。万物互联,漏洞威胁如影随形。

我们应该认识到,随着物联网发展智能设备激增,事件型漏洞数量也呈爆发趋势。

另外,零日认为还需要特别注意的一点,工控设备漏洞带来的深度威胁持续攀升。

2019年,媒体曝光美国将网络攻击的利刃插入俄罗斯电网系统,随后又掉转矛头剑指伊朗,国家间的网络攻击不再是科幻大片桥段。

与此同时,全球工业互联网安全漏洞持续高发,工控设备漏洞不仅关系到行业安全,更成为国家网络攻防争夺的战略高地。

也就是说,工业互联网的发展导致利用工控设备漏洞攻击事件的威胁加剧,主动发现工业互联网设备漏洞对于网络安全来说至关重要。

 

趋势2:各类漏洞行情连年暴涨

既然漏洞的重要性显而易见,其行情自然也是一片大好。无论是过明路的漏洞军火商,还是黑市暗网,漏洞的价格每年、甚至每天都在暴涨。

先来看“挖洞界二道贩子”Zerodium的价格表,安卓漏洞价格最高达250万美元,出价几乎是去年的12倍。

(Zerodium最新变更日志)

对比2017年和2019年的WhatsApp RCE+LPE漏洞价格,Zerodium标价分别为$500,000和 $1000,000,两年之间身价翻了一倍。

(2019年与2017年WhatsApp RCE+LPE漏洞价格对比图)

从台前退回到幕后,黑市上交易的漏洞同样身价不菲。

在暗网上,漏洞交易服务基本拥有自己的专区专栏,而且交易价格远高于各大平台的赏金。一个有价值的Win10漏洞赏金可能只有几万美元,而在黑市交易上,其价格可以翻几倍、几十倍,甚至是几百倍。

根据Hacking Team的说法,一个普通的漏洞交易价格也就是在3.5-4.5万美元之间,卖给他们,价格能翻三倍,更别提那种有价值的iOS漏洞,拿到几十万美元稀松平常,

确实,最新的Flashpoint报告《网络犯罪商品的定价分析》也告诉我们,暗网上包括漏洞在内的网络攻击服务、黑客攻击工具的价格每天都在上涨。

 

趋势3:全球大厂高赏金求安全

暗网漏洞交易黄金万两,但有道德操守的黑客通常都会将漏洞提交给各大厂商,毕竟厂商们的赏金也非常可观,且正在逐年攀升。

奖金数额的提升和范围扩大皆能表明,厂商们已然意识到了漏洞对安全的重要性。

2010年开始悬赏漏洞的谷歌,其最高基线奖励从 5000 美元升至15000 美元。2019年,谷歌提升了Chrome、Chrome OS 和Play的漏洞奖励金额,同时将Android Bug赏金计划的最高奖金上调至150万美元。

再看微软,从2012年开始推出了多项针对Windows的漏洞奖励计划,Spectre(幽灵)、Meltdown(熔断)类漏洞赏金最高可达25万美元。前不久,微软刚推出的“身份服务漏洞”悬赏计划,最高单价为10万美元。

今年,“抠门”的苹果也一反常态,刚公布的 “安全漏洞奖励计划”将最高赏金提升至100万美元。

Facebook不仅悬赏金额高,就连通常不予奖励的第三方应用漏洞也纳入悬赏范围内。

除了这些科技巨头之外,还有类似卡巴斯基的一些安全厂商也有自己的漏洞悬赏计划。漏洞赏金逐年攀升、悬赏范围逐步扩大,漏洞之于厂商的重要性不言而喻。

 

趋势4:漏洞成国家博弈战略资源

上升至国家层面,漏洞作为网络攻防制胜的关键,已是重要战略资源并影响国家博弈。

上文提及,中美国家漏洞库2019年收录漏洞接近40000余个,倘若这些漏洞一旦被用于网络攻防实战,无疑将成为国家作战部队取之不竭的军火库。

在利用漏洞军火这方面,美国可是前科累累。去年6月,利用未披露漏洞对伊朗导弹系统发起攻击,美国全面攻陷伊朗导弹系统。

(著名漏洞军火商Zerodium 发布的2019年漏洞“价牌”)

也正是因为漏洞“核武级”的安全威胁,诱发了全球范围内此消彼长的漏洞军备竞赛。

NSA美国网络军火库就全球撒网,斥巨资长期搜寻漏洞资源,以色列、英国、俄罗斯、印度也紧随其后,抢占漏洞资源积极备战。

 

趋势5:漏洞认知存致命短板

网络安全的底线,取决于最短的那块板。

相比于军政领域高度重视,关键信息技术设施领域对漏洞的“核级威胁”认知明显偏低,这正是网络安全的短板之一。

就拿航空航天这一关键信息基础设施建设来说,2019 POC安全大会上,曾披露Blockstream卫星链路卫星调制解调器EDMAC远程控制功能的物理地址认证缺失漏洞,可被攻击者用于切断卫星链路。

如若这些漏洞被用于国家间的网络对抗,失去卫星通信控制的一方,通信、交通、能源和网络系统都可能遭受灭顶之灾。

由此看来,航空航天、电力、水利、石化、冶金、汽车这些关乎国计民生的关键基础设施,不仅安全防护严重滞后,甚至还存在防护能力几乎为零的情况。

 

零日反思

漏洞这个网络安全的顽疾,确实有不治恐将深之势。

每一个漏洞都是开启全球网络浩劫的入口,它让发现者有了危害社会的巨大能量,尤其是在网络空间国家博弈的情况下,掌握漏洞就如同掌握了军火武器资源。在漏洞“武器化”的当下,国家、企业与个人都应树立网络安全大局观念,将看不见的威胁转变成“看得见”的实力。否则,皮之不存,毛将焉附?

零日情报局作品

微信公众号:lingriqingbaoju

参考资料:

ZERODIUM:漏洞交易价格变更日志

数世咨询:《2019年网络安全大事记》

https://mmbiz.qpic.cn/mmbiz_gif/ogxqTSgGMasGVL9aHDxN6cMicXEfsic0iaLQKNnmgZFBvtgQSy2acqibbyVkbicnWhSiaAMgIY8cC61BnbGxw2yUiavSA/640?wx_fmt=gif&tp=webp&wxfrom=5&wx_lazy=1

(完)