3、2014互联网网络漏洞简析
根据中国国家信息安全漏洞库统计,2014年全年互联网新增各类网络漏洞9118个,其中第一季度新增安全漏洞2018个;第二季度安全漏洞1910个;第三季度安全漏洞2537个;第四季度安全漏洞2653个。
从漏洞严重程度来看,高危漏洞占全年漏洞总数的比例为26.03%(2373);中危漏洞占全年漏洞总数的比例为65.92%(6011);低危漏洞占全年漏洞总数的比例为8.05%(734)。
No.1:漏洞频发:关注最常被反复利用的漏洞
2014年,不论是安全研究人员、白帽子还是攻击者大都集中在证明通过他们的努力“研究”,让常见的可以被反复利用的漏洞或“薄弱环节”,成为击溃我们“脆弱的互联网”有力武器。每当互联网发布一份新的漏洞报告时,受影响的厂商、安全从业人员和媒体往往更关注零天漏洞,此类重大新闻似乎更迫切地需要他们作出反应。然而,我们更应优先考虑的,是投入时间和资金,修补网络攻击者最常利用的那一小部分漏洞。其他漏洞可以通过更常规的流程进行管理。
如在心脏流血漏洞首次被公诸于众的时候,信息安全专家曾表示,全球约有61.5268万台服务器存在心脏流血漏洞。一个月后,发现只有31.8239万台服务器存在这种漏洞,这就是说已有一半的服务器修复了这个漏洞。但是,信息安全专家在2014年6月份公布的研究结果仍然令人感到担忧,它显示至今仍有30.9197万台服务器存在这个漏洞。自从心脏流血漏洞公布以来,OpenSSL 项目已报告了在 OpenSSL 软件中发现的其他几个缺陷,其中一些缺陷“可能允许攻击者创建拒绝服务条件或(在某些情况下)远程代码执行。”其中一些缺陷长期被人们忽视:例如,一位日本安全研究人员发现的 CCS 注入漏洞在OpenSSL 软件中存在时间长达16 年,该安全漏洞允许攻击者截获并解密在互联网中传输的加密数据。
根据统计,2014年全年互联网新增各类网络漏洞中,由常见且被反复利用的漏洞所引发的威胁中,未授权的信息泄露占比例52.64%,管理员访问权限获取占比20.23%。
No.2:OpenSSL爆“心脏出血”漏洞
2014年4月8日,来自Codenomicon和谷歌安全部门的研究人员,发现OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。该漏洞在国内被译为“OpenSSL心脏出血漏洞”,因其破坏性之大和影响的范围之广,堪称网络安全里程碑事件。
密歇根大学的一个安全研究团队利用开源网络扫描工具ZMap搜索存在Heartbleed漏洞的网站。研究人员完整扫描了地址空间,截至2014年4月10日2:00 PM,Alexa排名前百万的网站中有32%支持SSL,在支持HTTPS的网站中,9%存在漏洞,31.9%安全的支持OpenSSL TLS Heartbeat Extension, 59%不支持HeartbeatExtension(不存在心脏出血漏洞),也就是在漏洞爆发的时候全球前一百万的网站中,有40.9%的网站中招。全球先进个被攻击通告的案例加拿大税务局确认Heartbleed导致了900个纳税人的社会保障号被盗,这900个纳税人的社保号被攻击者在系统中完全删除了。
No.3:Linux“Bash”破壳漏洞大爆发
2014年9月25日,国外安全专家发现Linux系统中一个频繁使用的片段“Bash”存在漏洞,影响目前主流的Linux系统。利用该漏洞,黑客可以远程窃取服务器上的信息,并进一步控制服务器。
“Bash”漏洞(Shellshock)是继今年四月的“心脏流血”漏洞之后,业界发现的首个重大互联网威胁。由于后者所影响的OpenSSL加密软件被用在全球大约三分之二的网络服务器中,因此影响范围十分广泛。
最新的这项漏洞的威胁程度之所以堪比“心脏流血”,一定程度上是因为Shellshock所影响的Bash软件,同样被广泛应用与各类网络服务器以及其他电脑设备。
但安全专家表示,由于并非所有运行Bash的电脑都存在漏洞,所以受影响的系统数量或许不及“心脏流血”。不过,Shellshock本身的破坏力却更大,因为黑客可以借此完全控制被感染的机器,不仅能破坏数据,甚至会关闭网络,或对网站发起攻击。
与之相比,“心脏流血”漏洞只会导致数据泄漏。
No.4:Struts2漏洞频出 祸根是Apache底层代码不严谨
Apache Struts2的远程代码执行漏洞风暴影响刚刚散去,2014年4月23日晚,国外安全人员研究发现Apache公司提供的升级版本并未完全修复漏洞,Apache Struts2在处理CVE-2014-0094的漏洞补丁中存在缺陷,会被轻易绕过,可导致任意命令执行。Struts2上次远程代码执行漏洞,是由于黑客通过ParametersInterceptor接口可以操控服务器运行环境中的一些对象,因此补丁中禁用了此接口,但是由于防护规则不完善,导致安全机制仍可被攻击者绕过。建设银行、工商银行、中国银行、淘宝、京东、中国移动官网等都采用Struts2框架,此漏洞对上述网站服务器构成了拒绝服务和远程控制的威胁。
攻击者利用此漏洞,可以远程对目标服务器执行任意系统命令,轻则可窃取网站数据信息,重则可取得网站服务器控制权,从而造成信息泄露并给网站运行带来严重的安全威胁。特别是政府、公安、交通、金融和运营商等尤其需要重视该漏洞,这些单位和机构的敏感信息泄漏有可能对国家造成沉重的打击,甚至会违反相关的法律规定。在最近几年APT攻击横行的时期,黑客早已不再以挂黑页炫耀为目的,攻击者可能通过该漏洞作为突破口渗透进入其内部网络并长期蛰伏,不断收集各种信息,直到收集到重要情报。
