热点态势
漏洞态势
漏洞态势
截止 2019 年 11 月 27 日,NVD收录的 2019 年 CVE漏洞数目为 11633 个,其中高危漏洞 6549 个。 相较于 2017 年度的 15881 个和 2018 年的 15861 个,总体数量上有所下降,但是高危漏洞呈相对增长 趋势。
历年CVE漏洞数量变化
2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 漏洞总数 高危漏洞数
根据 CWE对漏洞类型的分类标准,2019 年排名前 10 的漏洞类型如下图所示:
2019年Top10漏洞类型
CWE-79 1231 CWE-20 1088
CWE-119 903
CWE-200 755
CWE-284 672
CWE-125 541
CWE-264 437
CWE-89 333
CWE-416 323
CWE-352 309
0 200 400 600 800 1000
1200 1400
CWE-119(缓冲区溢出)、CWE-125(越界访问)以及 CWE-416(Use After Free)代表内存越界 操作漏洞,共 1767 条,通过此类漏洞攻击者可以获取任意代码执行权限。这类型的漏洞在浏览器和 Office 软件中比较常见,同时也是 APT攻击者的重要目标和武器。CWE-264 和 CWE-284 代表权限类型 的漏洞,共 1109 条,主要集中在服务器操作系统
、数据库类的应用,以及部分应用较广的开源内容管 理系统中。传统的 Web 攻防技术也是屡见不鲜,CWE-79(XSS)、CWE-89(SQL 注入)、CWE-352 (CSRF)等常见于服务器及 Web 应用中,通过将恶意脚本嵌入到网页中,对网站数据造成危害。除此 之外漏洞类型较多的就是 CWE-200代表的信息泄露漏洞,攻击者通过触发漏洞能够导致敏感信息暴露, 比如系统配置信息,数据库信息等,可以为攻击者进一步的攻击行为提供帮助。提起今年的热点漏洞,毫不例外的会想到微软的远程桌面服务漏洞。5 月 14 日微软发布紧急安全 公告,公告称修复了 Windows 远程桌面协议(Remote Desktop
Protocol,RDP)的一个高危漏洞 CVE- 2019-0708,无需身份验证且无需用户交互,可以被蠕虫类攻击利用。该漏洞是一个释放后使用(Use After Free)漏洞,当 RDP 连接建立时,RDP 服务端默认创建 MS_T120 静态虚拟信道,该信道对象会 被绑定到 0x1F 信道号中。此时 RDP 客户端若请求绑定名称为 MS_T120 的信道到指定信道号,那么 MS_T120 信道对象就绑定在两个不同的信道号下,得到两个独立的引用。这样当客户端要求释放 MS_ T120 信道时,将会删除引用,释放信道对象。但是在关闭 RDP 连接时也会释放 0x1F 的 MS_T120 信 道对象,由于该对象空间已经释放过,再次引用就会触发 UAF漏洞。9 月 7 日 Metasploit 团队公开发布了该漏洞的利用模块 cve_2019_0708_bluekeep_rce.rb,该模块以 64 位版本的 Windows 7 和 Windows Server 2008 R2 为目标,根据下图 options 的信息,攻击者需要提 供设置 RHOSTS、RPORT、target,可用于针对性的攻击。目前为止,我们的设备检测到的对该漏洞的 告警数据已达到 56827 次。
漏洞利用态势
- 物联网
相关漏洞持续爆发随着近几年物联网的飞速发展,物联网相关设备的类型越来越多,主要包括处理器,路由器,摄像头
, 智能设备等。这些设备的防御措施少,但是一旦利用成功能够获取到设备系统较高的权限。根据 IPS 设 备检测到的攻击告警,可以得到被黑客攻击使用最多的设备漏洞及数量。表 5.1 物联网设备相关漏洞利用情况
漏洞分类 | 告警数 |
---|---|
Netcore/Netis 路由器后门 | 5013213 |
大华监控设备非授权访问漏洞 | 169930 |
D-Link DSL-2750B任意命令执行漏洞 | 140471 |
TP-Link无线路由器 HTTP/TFTP 后门漏洞 | 55051 |
施耐德派尔高 Sarix enhanced 摄像头命令执行漏洞 | 29418 |
施耐德派尔高 Sarix Pro 摄像头 session.cgi 程序缓冲区溢出漏洞 | 28472 |
华为 HG532 路由器远程命令执行漏洞 (CVE-2017-17215) | 14730 |
D-Link路由器 User-Agent 后门漏洞 | 9608 |
Motorola 无线路由器 WR850G 认证绕过漏洞 | 4208 |
物联网设备的漏洞主要分布在 Web 应用、系统以及相关协议中。在 Web 应用方面,用户一般都会 使用默认配置、弱口令密码,使得 SQL注入、XSS这样的漏洞数不胜数。在系统层面上,就摄像头而言, ROM通常涉及的文件系统 SquashFS、JFFS2、UBIFS 等会存在一些安全漏洞,而且这些固件的更新除 了依赖于厂商的重,还关系到用户是否有更新的意愿。除此之外就是种类繁多的应用协议,比如摄像 头用到即插即用协议 UPnP、实时流传输协议 RTSP 以及 ONVIF规范协议等,那么与协议相关的未授权 访问漏洞就会引起黑客的关注。 |
- 服务器漏洞利用
服务器漏洞主要为服务器上的系统服务与程序,用于支撑或提供网络管理与实际业务。在针对服务 器的漏洞攻击中,Web 服务器受到的攻击是最多,主要包括 Apache、Tomcat、Weblogic 等。大多数 网站都存储有价值的信息,如信用卡号、电子邮件地址和密码等,这使他们成为攻击者的目标。
其他 3.80%
邮件服务器 0.52%
文件服务器 0.67%
数据库服务器 0.96%
DNS服务器 1.67%
Windows服务器 5.53%
扫描服务器 10.66%
Web服务器 76.19%
图 5.1 服务器漏洞利用概况
扫描服务器和 Windows 服务器的漏洞利用依次排列在第二和第三名,这两类漏洞利用中,使用到 的网络服务主要包括 SMB、RPC、IIS、远程桌面等。Shadow Brokers 泄露的 MS17-010 系列相关的 SMB远程漏洞工具被集成到多个蠕虫家族中,近两年通过我们的产品检测到的告警数量也是稳居第一。 相对于往年,今年爆发的远程桌面服务的漏洞利用也是出现了上涨形式,其中以 CVE-2019-0708 的攻 击最为明显。
16000 14000 12000 10000 8000
告警数量
6000 4000 2000 0
5 6 7 8 9 10 11 12
月份
图 5.2 CVE-2019-0708 RDP 远程代码执行漏洞的攻击概况
5.1.2.3 应用类漏洞
应用类软件主要提供文档、多媒体、主机管理等功能,常见的包括各类客户端(例如浏览器、邮件 客户端)、杀软、Office 办公软件、Flash 播放器、PDF 阅读器等。这类漏洞主要是黑客利用钓鱼邮件, 通过恶意链接、恶意附件的形式投递恶意程序,在用户点击相关资源时,对应程序的漏洞会被触发,最 终导致感染和信息泄露。
其他 19%
PDF应用 3%
Flash应用 3%
Office应用 9%
Apple应用 19%
浏览器应用 48%
图 5.3 应用软件漏洞利用分布概况
在应用软件类漏洞利用攻击中,浏览器类应用受到的攻击达到 48% 的比例,其中微软的 Internet Explorer/Edge、谷歌的 Chrome 是被攻击者使用最多的应用软件。这些漏洞多是由于脚本引擎对 内存中对象的不正确处理造成的,这些脚本主要包括 JavaScript、Vbscript、WebKit 以及新兴的 WebAssembly。
相对于 2018 年,Apple 应用的漏洞利用从 0.6% 提高到了 19%。2019 年 8 月 29 日,Google 安 全团队 Project Zero 公布了 5 个漏洞利用链及相关联的 14 个安全漏洞,涉及从 IOS10 到最新版本的 IOS12 所有版本。从系统时间推断可知,这些攻击者至少活跃了 2 年时间。
Office 漏洞备受黑客喜爱,大部分 APT组织也会选择使用 Office 的高危漏洞,近几年出现的相关 安全事件大都利用了 OLE2Link对象逻辑漏洞、公式编辑器 EQNEDT32.EXE漏洞、EPS(Encapsulated Post Script)脚本解析漏洞等。除此之外,通过发送包含恶意 Flash 的 Word 附件也可以对目的进行攻击。
Flash 漏洞数目虽少,但是利用率还是比较高,尤其是 Hacking Team 泄露了 CVE-2015-5122 和 CVE- 2015-5199 两个 0day 漏洞利用后,相关的利用技术得到了进一步的提升。