您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
盤(pán)點(diǎn) | 近期重大安全漏洞事件
根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所收集的關(guān)于常見(jiàn)漏洞(CVE)的數(shù)據(jù)分析,2020年全球的安全漏洞報(bào)告比以往任何一年都多。
托管安全服務(wù)提供商Redscan的報(bào)告顯示,僅2020年報(bào)告了18,103個(gè)漏洞,其中大多數(shù)被列為高度嚴(yán)重級(jí)別,占比達(dá)57.1%。實(shí)際上,2020年披露的高嚴(yán)重性和嚴(yán)重漏洞數(shù)量超過(guò)了2010年披露的漏洞總數(shù)。
安全專業(yè)人士擔(dān)心,在2020年記錄的漏洞中,有三分之二以上不需要任何形式的用戶交互。利用這些漏洞的攻擊者甚至不需要其目標(biāo)就可以在不知不覺(jué)中執(zhí)行操作,例如單擊電子郵件中的惡意鏈接。
雜志社梳理了3-5月重大安全漏洞事件,這些事件不僅給企業(yè)帶來(lái)數(shù)據(jù)資產(chǎn)的嚴(yán)重?fù)p失,還帶來(lái)了巨大的社會(huì)影響。
01 英特爾、AMD CPU再曝高危漏洞 數(shù)十億計(jì)算機(jī)受影響
披露時(shí)間:2021年5月初
漏洞類型:幽靈漏洞。幽靈漏洞的核心是定時(shí)邊信道攻擊,它打破了不同應(yīng)用程序之間的隔離,并利用了CPU硬件實(shí)現(xiàn)中一種稱為推測(cè)執(zhí)行的優(yōu)化方法,誘使程序訪問(wèn)內(nèi)存中的任意位置,從而泄漏其秘密。
漏洞危害:泄漏用戶秘密。
影響范圍:5月4日,戴爾公司自曝其上億臺(tái)電腦的固件升級(jí)驅(qū)動(dòng)中存在一個(gè)長(zhǎng)達(dá)12年的漏洞(已修復(fù))。5月6日,英特爾、AMD等處理器巨頭的處理器芯片再次發(fā)現(xiàn)新的高危漏洞。
專家觀點(diǎn):現(xiàn)代處理器中普遍存在的的熔斷漏洞(Meltdown)和幽靈漏洞(Spectre)由于難以修復(fù),幽靈漏洞將困擾我們相當(dāng)長(zhǎng)的時(shí)間。
02 高通芯片高危漏洞影響全球40%手機(jī)
披露時(shí)間:2021年5月初
漏洞類型:緩沖區(qū)溢出漏洞(CVE-2020-11292)。要利用CVE-2020-11292漏洞并控制調(diào)制解調(diào)器,從應(yīng)用程序處理器中進(jìn)行動(dòng)態(tài)更新,攻擊者需要利用高通手機(jī)芯片中的Qualcomm MSM軟件接口(QMI)中的一個(gè)堆溢出漏洞。
漏洞危害:攻擊者可以利用該漏洞獲取使用手機(jī)用戶的短信、通話記錄、監(jiān)聽(tīng)對(duì)話甚至遠(yuǎn)程解鎖SIM卡!更可怕的是,該漏洞的利用無(wú)法被常規(guī)系統(tǒng)安全功能檢測(cè)到。
影響范圍:高通MSM芯片包含2G、3G、4G和5G功能的一系列片上系統(tǒng)(SoC),全部都存在該高危漏洞。目前全球約40%的手機(jī)都使用了MSM芯片,其中包括三星、谷歌、LG、OnePlus和小米在內(nèi)的多家手機(jī)供應(yīng)商的產(chǎn)品。
專家觀點(diǎn):為了保護(hù)自己免受利用此類漏洞或相關(guān)惡意軟件的攻擊,建議安卓手機(jī)用戶將設(shè)備盡快更新到最新版本的安卓操作系統(tǒng)。值得注意的是,高通的芯片產(chǎn)品近年來(lái)多次爆出高危漏洞。
03 DNS高危漏洞威脅全球數(shù)百萬(wàn)物聯(lián)網(wǎng)設(shè)備
披露時(shí)間:2021年4月
漏洞危害:不法分子可以利用這些漏洞使目標(biāo)設(shè)備脫機(jī),或者接管控制并執(zhí)行操作。訪問(wèn)敏感數(shù)據(jù),破壞生產(chǎn)和醫(yī)療系統(tǒng),危害普通住宅安全。
漏洞類型:DNS漏洞。稱為NAME:WRECK。這些漏洞存在于四個(gè)流行的TCP/IP堆棧中,即FreeBSD、IPnet、Nucleus NET和NetX,這些堆棧通常存在于流行的IT軟件和IoT/OT固件中,影響全球數(shù)以百萬(wàn)計(jì)的IoT物聯(lián)網(wǎng)設(shè)備。
影響范圍:WRECK漏洞將影響幾乎所有行業(yè)的組織,包括政府、企業(yè)、醫(yī)療、制造和零售業(yè)等。據(jù)悉,僅美國(guó)就有超過(guò)18萬(wàn)(英國(guó)3.6萬(wàn))臺(tái)設(shè)備受到了影響。
專家觀點(diǎn):除非采取緊急行動(dòng)來(lái)充分保護(hù)網(wǎng)絡(luò)及聯(lián)網(wǎng)設(shè)備,否則NAME:WRECK漏洞的野外利用只是時(shí)間問(wèn)題,有可能導(dǎo)致主要的政府?dāng)?shù)據(jù)被黑客入侵泄漏,制造業(yè)生產(chǎn)中斷或危及服務(wù)業(yè)客人的安全。
04 特斯拉重大安全漏洞被公開(kāi)
披露時(shí)間:2021年4月
漏洞危害:先控制無(wú)人機(jī)懸停在特斯拉上方,然后通過(guò)特斯拉的一個(gè)軟件連接無(wú)人機(jī)的Wi-Fi熱點(diǎn),從而入侵并控制車輛。
漏洞類型:遠(yuǎn)程零點(diǎn)擊(zero-click)安全漏洞。研究人員開(kāi)發(fā)的黑客攻擊程序,可以繞開(kāi)密鑰卡中新改進(jìn)的加密技術(shù)。研究人員表示,黑客完成第一步攻擊只需要90秒,利用特斯拉無(wú)鑰匙進(jìn)入系統(tǒng)中的安全問(wèn)題,可以成功將車輛解鎖。
影響范圍:在歐洲,發(fā)生過(guò)多起竊賊通過(guò)黑客手段盜竊特斯拉汽車的事件,其中大多數(shù)車輛都不知下落。
05 微信Windows客戶端遠(yuǎn)程代碼執(zhí)行漏洞
披露時(shí)間:2021年4月
漏洞類型:遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-202104-1003)
漏洞危害:攻擊者可以通過(guò)微信發(fā)送一個(gè)特制的web鏈接,用戶一旦點(diǎn)擊鏈接,微信Windows版便會(huì)執(zhí)行攻擊者構(gòu)造的惡意代碼,最終導(dǎo)致攻擊者控制用戶計(jì)算機(jī)
影響范圍:微信Windows版3.1.0.41及以下版本均受此漏洞影響。
專家觀點(diǎn):目前,騰訊官方已發(fā)布最新版本修復(fù)了該漏洞,建議用戶及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
06 印度800萬(wàn)核酸檢測(cè)結(jié)果泄露:網(wǎng)站漏洞 太低級(jí)
披露時(shí)間:2021年3月
漏洞危害:通過(guò)在URL 中增加或減少數(shù)字就可以看到其他人的核酸檢測(cè)結(jié)果。每份報(bào)告中都有病人的姓名、年齡、性別、家庭地址、核酸檢測(cè)結(jié)果、檢測(cè)日期、報(bào)告號(hào)、測(cè)試實(shí)驗(yàn)室的位置信息等。
漏洞類型:URL漏洞。文本中URL 的結(jié)構(gòu)導(dǎo)致可以獲取base64 編碼的報(bào)告的ID號(hào)碼(SRF ID),base64編碼的報(bào)告號(hào)碼可以解碼為簡(jiǎn)單的數(shù)字形式,通過(guò)在URL 中增加或減少數(shù)字就可以看到其他人的核酸檢測(cè)結(jié)果。
影響范圍:印度西孟加拉邦衛(wèi)生福利部800萬(wàn)核酸檢測(cè)結(jié)果報(bào)告泄露
專家觀點(diǎn):建議在生成公開(kāi)可訪問(wèn)的URL時(shí),應(yīng)加入不可猜測(cè)的或隨機(jī)的數(shù)據(jù)位來(lái)使得無(wú)法通過(guò)枚舉來(lái)獲取信息。
07 微軟漏洞被黑客瘋狂利用,上萬(wàn)企業(yè)受影響!
披露時(shí)間:2021年3月
漏洞危害:通過(guò)這些漏洞,攻擊者無(wú)需身份驗(yàn)證或訪問(wèn)個(gè)人電子郵件帳戶即可從Exchange服務(wù)器讀取電子郵件。而通過(guò)后面的漏洞鏈接,攻擊者則能夠完全接管郵件服務(wù)器。Exchange中出現(xiàn)的四個(gè)零日漏洞已經(jīng)被至少10個(gè)高威脅性黑客組織注意到了,這些黑客組織已經(jīng)在全球100個(gè)國(guó)家以上的超過(guò)5000臺(tái)服務(wù)器中安裝了后門(mén)程序,從而攻擊者可以簡(jiǎn)單的通過(guò)web瀏覽器對(duì)服務(wù)器進(jìn)行遠(yuǎn)程控制。
漏洞類型:針對(duì)微軟的 Exchange Server(電子郵件服務(wù)器)的4 個(gè)重大零日漏洞,
影響范圍:全球數(shù)十萬(wàn)臺(tái)Exchange服務(wù)器被攻擊,大量企業(yè)、政府部門(mén)被感染,超過(guò)6萬(wàn)家組織受影響。
專家觀點(diǎn):
1、將所有Microsoft Exchange服務(wù)器更新為Microsoft提供的最新補(bǔ)丁版本。此更新不會(huì)自動(dòng)進(jìn)行,需要手動(dòng)執(zhí)行。
2、實(shí)施復(fù)雜密碼策略,杜絕弱口令。
3、升級(jí)防病毒軟件到最新的防病毒庫(kù),阻止已存在的病毒樣本攻擊。
4、定期異地備份計(jì)算機(jī)中重要的數(shù)據(jù)和文件,萬(wàn)一中病毒可以進(jìn)行恢復(fù)。
來(lái)源:信息安全與通信保密雜志社