您所在的位置: 首頁(yè) >
新聞資訊 >
威脅情報(bào) >
[調(diào)研]2021年零日漏洞利用激增
2021年,惡意黑客加大零日漏洞利用力度,遭利用的零日漏洞數(shù)量創(chuàng)歷史新高,且大多數(shù)源自微軟、谷歌和蘋果的軟件。
一如既往,國(guó)家支持的高級(jí)持續(xù)性威脅(APT)組織仍然是漏洞利用的主力軍。但是,他們不是唯一的漏洞利用力量:求財(cái)型黑客團(tuán)伙,尤其是勒索軟件攻擊團(tuán)伙,大大增加了對(duì)零日漏洞的利用,利用零日漏洞的攻擊者中三分之一都是這類黑客團(tuán)伙。
本周,兩份咨詢報(bào)告分別指出,軟件漏洞在補(bǔ)丁推出前即遭利用的情況大幅增加。這兩份報(bào)告一份出自Mandiant,另一份出自谷歌安全團(tuán)隊(duì)Project Zero。Mandiant指出,2021年有80個(gè)軟件漏洞在補(bǔ)丁推出前即遭到黑客利用;谷歌則識(shí)別出了58個(gè)此類零日漏洞。
按照Mandiant的說(shuō)法,相較于2020年錄得的30個(gè),2021年的80個(gè)零日漏洞利用代表著167%的增長(zhǎng),而且比2019年的此前最高紀(jì)錄32個(gè)也增加了一倍多。至于谷歌觀察到的58個(gè)零日漏洞利用,則是該公司2020年所錄25個(gè)的兩倍還多,也是谷歌2015年最高紀(jì)錄28個(gè)零日漏洞的兩倍多。
Mandiant表示,出自微軟、谷歌和蘋果的漏洞占了去年遭利用零日漏洞的75%,這可能是因?yàn)檫@三家公司的技術(shù)遍布全球,應(yīng)用廣泛。谷歌自2014年開(kāi)始維護(hù)的一張零日漏洞電子表格顯示,該公司去年觀測(cè)到的58個(gè)零日漏洞利用中有16個(gè)都是該公司自己的技術(shù);21個(gè)歸屬微軟的產(chǎn)品;13個(gè)出自蘋果的產(chǎn)品。剩下的漏洞分屬其他九個(gè)供應(yīng)商,包括高通、趨勢(shì)科技、SonicWall、Accellion(現(xiàn)為Kiteworks)和Pulse Secure。
2012年至2021年期間遭利用的零日漏洞
Mandiant首席分析師James Sadowski表示,這些數(shù)據(jù)凸顯企業(yè)不能忽視惡意攻擊者在非流行技術(shù)中尋找和利用零日漏洞的可能性。
他說(shuō)道:“盡管主流供應(yīng)商依然是零日漏洞利用的主要目標(biāo),但我們也越來(lái)越多地觀測(cè)到主流供應(yīng)商之外的零日漏洞利用,兩類技術(shù)和供應(yīng)商遭遇的零日漏洞利用都增加了?!?/span>
幾乎過(guò)時(shí)的一款A(yù)ccellion產(chǎn)品中的漏洞造成多家大型企業(yè)發(fā)生數(shù)據(jù)泄露事件,談及此事時(shí)Sadowski表示:“正如我們?cè)贏ccellion FTA漏洞利用中觀察到的那樣,惡意攻擊者能夠利用這些系統(tǒng)中的漏洞,造成重大損害?!?/span>
零日漏洞利用暴增原因多樣
Mandiant發(fā)現(xiàn),去年零日漏洞利用大幅增長(zhǎng)是多種原因推動(dòng)的。該公司認(rèn)為,企業(yè)越來(lái)越多地采用云、移動(dòng)和物聯(lián)網(wǎng)技術(shù),增加了企業(yè)的在用軟件數(shù)量,因而漏洞發(fā)現(xiàn)數(shù)量也隨之增多。負(fù)責(zé)交易零日漏洞的所謂漏洞利用經(jīng)紀(jì)人數(shù)量增加也是一個(gè)因素,這些漏洞利用經(jīng)紀(jì)人促使零日漏洞利用團(tuán)伙增加了對(duì)研發(fā)的投資。與此同時(shí),谷歌指出,零日漏洞檢測(cè)和披露的改善刺激了零日漏洞的涌現(xiàn)。Mandiant也表示這是可能因素之一。
Mandiant的分析顯示,國(guó)家支持的黑客組織繼續(xù)統(tǒng)治零日漏洞利用山河。但是,勒索軟件和出于經(jīng)濟(jì)利益動(dòng)機(jī)的其他威脅團(tuán)伙在攻擊中使用零日漏洞的數(shù)量也明顯增加了。
Mandiant首席分析師Sadowski稱,這些惡意黑客可能是從地下漏洞利用經(jīng)紀(jì)人和犯罪服務(wù)提供商那里購(gòu)買零日漏洞利用程序,要不然就是招募必要的人才來(lái)內(nèi)部研究漏洞并開(kāi)發(fā)零日漏洞利用程序,正如Conti勒索軟件團(tuán)伙案例中所呈現(xiàn)的那樣:Conti泄出的聊天文件表明這伙黑客會(huì)討論最近披露的漏洞,并分配人手構(gòu)建掃描器來(lái)識(shí)別潛在的脆弱系統(tǒng)。
Sadowski說(shuō)道:“我們可以看到,隨著勒索軟件團(tuán)伙從其攻擊活動(dòng)中攫取到越來(lái)越多的資金,他們更加頻繁地在攻擊中使用零日漏洞利用程序。但總的說(shuō)來(lái),我們非常難以確定惡意黑客可能在哪里得到零日漏洞利用程序。”
Viakoo首席執(zhí)行官Bud Broomhead表示,零日漏洞利用的增加表明:惡意黑客正將其攻擊途徑轉(zhuǎn)到傳統(tǒng)威脅評(píng)估和檢測(cè)解決方案無(wú)法發(fā)現(xiàn)的漏洞上去。“為什么不僅零日漏洞威脅,還有物聯(lián)網(wǎng)漏洞利用和開(kāi)源軟件漏洞利用都是快速增長(zhǎng)的企業(yè)威脅?這就是原因所在。”企業(yè)面臨的挑戰(zhàn)在于弄清怎樣限制成功零日漏洞攻擊的傷害,弄清如何防御針對(duì)新型攻擊途徑的漏洞利用。
Netenrich首席威脅獵手John Bambenek表示,不斷增加的零日漏洞利用表明企業(yè)需要具備快速修復(fù)能力。
“在漏洞修復(fù)方面,企業(yè)需要保持靈活性和敏捷性,盡可能多地清除修復(fù)障礙,例如簡(jiǎn)化測(cè)試和變更管理?!?/span>
來(lái)源:數(shù)世咨詢