大家好，我是 零日情报局。

本文首发于公众号 零日情报局，微信ID：lingriqingbaoju。

漏洞之于网络世界，一直是杀伤力足以媲美***、核武器一般的存在。

 

细数2019年典型的“超级漏洞”案例，我们能够感受到刚过去这一年的“惊心动魄”——

 

1月，由360安全研究员发布的一个内核漏洞的概念验证（PoC）拉开序幕，该漏洞可帮远程攻击者在不惊动用户的情况下越狱 iPhone X，访问目标设备上的数据，利用设备计算能力等等；

 

 

2月，遗留19年之久的WinRAR代码执行漏洞被曝光，利用此漏洞可构造恶意的压缩文件，诱使受害者下载运行后可完全控制目标电脑，5亿以上用户瞬间陷入压缩危机；

 

5月，微软蠕虫级漏洞“BlueKeep”曝光，近 100 万台设备置于高危漏洞之下。攻击者一旦成功利用，便可以在目标系统上执行任意代码，包括获取敏感信息、执行远程代码、发起拒绝服务攻击，甚至不排除再复制一次WannCry蠕虫风暴，360等安全厂商加紧发布免疫工具和缓解措施；

 

7月，谷歌Project Zero 团队发现iOS系统存在6个“无交互”安全漏洞，可通过iMessage客户端直接发动攻击，而目标用户无需做任何点击交互；

 

8月，英特尔X86处理器高危漏洞Spectre出现变种，该漏洞允许黑客窃取内核内存敏感信息，且不会留下对硬件的攻击痕迹；

 

 

11月，WhatsApp缓冲区溢出漏洞引发DoS/ RCE攻击，可被用来安装间谍软件，Android及 iOS系统双双沦陷；

 

 

由点及面，再从整体数据来看，全球漏洞体量也在连年攀升。

 

# 国家信息安全漏洞库(CNNVD)：

CNNVD在2019年公布的漏洞数量为17316个，全年增长率约为6.26%。

# 美国国家漏洞库(NVD)：

NVD公布的漏洞数量为17314个，全年增长率约为4.84%。

# 公共漏洞披露平台(CVE)：

CVEdetails公布的漏洞数量为16778个，全年增长率约为8.06%。

 

结合近几年数据来看，漏洞数量逐年增长趋势毋庸置疑，其背后更是足以震荡全球的安全威胁：老漏洞沉疴难愈，新漏洞层出不穷，大有按下葫芦起了瓢的架势。

 

下面，零日给大家总结一下今年漏洞相关的几点趋势。

 

 

趋势1：各类漏洞危机四伏，工控漏洞首当其冲

 

结合2019年的典型案例来看，通用型漏洞、事件型漏洞分别趋向不同的特征。

 

从类型上来说，漏洞整体呈现如下趋势：通用型漏洞，底层硬件漏洞或将成为重大杀器；事件型漏洞，数量随着智能设备发展而猛增。

 

以英特尔处理器漏洞事件为例，该漏洞基于Spectre（幽灵）、Meltdown（熔断）等其他CPU漏洞之上，聊天记录、电子邮件等敏感信息在该漏洞面前与攻击者坦诚相见。

 

且影响范围之大，令12年以来的所有英特尔CPU、Intel或AMD处理器的X86-64系统全部列入易受攻击范围。以此为代表的底层硬件漏洞，可影响几乎所有使用相关处理器芯片的计算机设备，可见底层硬件漏洞的破坏力。

 

在通用型漏洞中，底层硬件漏洞因其范围广、隐蔽性高、危害大，且具备难以快速修复的特点，将成为“杀手级”网络攻击武器。

 

至于事件型漏洞的发展趋势，则因智能设备和云的普及而迅猛增长。

 

2019年，iOS系统无交互漏洞、蓝牙密钥协商攻击漏洞就是最典型的例子。

 

拿蓝牙密钥协商攻击漏洞来说，包括智能手机、笔记本电脑、智能物联网设备和工业设备在内的超10亿台蓝牙设备，均在其威胁之下。万物互联，漏洞威胁如影随形。

 

我们应该认识到，随着物联网发展智能设备激增，事件型漏洞数量也呈爆发趋势。

 

另外，零日认为还需要特别注意的一点，工控设备漏洞带来的深度威胁持续攀升。

 

2019年，媒体曝光美国将网络攻击的利刃插入俄罗斯电网系统，随后又掉转矛头剑指伊朗，国家间的网络攻击不再是科幻大片桥段。

 

与此同时，全球工业互联网安全漏洞持续高发，工控设备漏洞不仅关系到行业安全，更成为国家网络攻防争夺的战略高地。

 

也就是说，工业互联网的发展导致利用工控设备漏洞攻击事件的威胁加剧，主动发现工业互联网设备漏洞对于网络安全来说至关重要。

 

趋势2：各类漏洞行情连年暴涨

 

既然漏洞的重要性显而易见，其行情自然也是一片大好。无论是过明路的漏洞军火商，还是黑市暗网，漏洞的价格每年、甚至每天都在暴涨。

 

先来看“挖洞界二道贩子”Zerodium的价格表，安卓漏洞价格最高达250万美元，出价几乎是去年的12倍。

 

（Zerodium最新变更日志）

 

对比2017年和2019年的WhatsApp RCE+LPE漏洞价格，Zerodium标价分别为$500,000和 $1000,000，两年之间身价翻了一倍。

 

（2019年与2017年WhatsApp RCE+LPE漏洞价格对比图）

 

从台前退回到幕后，黑市上交易的漏洞同样身价不菲。

 

在暗网上，漏洞交易服务基本拥有自己的专区专栏，而且交易价格远高于各大平台的赏金。一个有价值的Win10漏洞赏金可能只有几万美元，而在黑市交易上，其价格可以翻几倍、几十倍，甚至是几百倍。

 

根据Hacking Team的说法，一个普通的漏洞交易价格也就是在3.5-4.5万美元之间，卖给他们，价格能翻三倍，更别提那种有价值的iOS漏洞，拿到几十万美元稀松平常，

 

确实，最新的Flashpoint报告《网络犯罪商品的定价分析》也告诉我们，暗网上包括漏洞在内的网络攻击服务、黑客攻击工具的价格每天都在上涨。

 

 

趋势3：全球大厂高赏金求安全

 

暗网漏洞交易黄金万两，但有道德操守的黑客通常都会将漏洞提交给各大厂商，毕竟厂商们的赏金也非常可观，且正在逐年攀升。

 

奖金数额的提升和范围扩大皆能表明，厂商们已然意识到了漏洞对安全的重要性。

 

2010年开始悬赏漏洞的谷歌，其最高基线奖励从 5000 美元升至15000美元。2019年，谷歌提升了Chrome、Chrome OS 和Play的漏洞奖励金额，同时将Android Bug赏金计划的最高奖金上调至150万美元。

 

再看微软，从2012年开始推出了多项针对Windows的漏洞奖励计划，Spectre（幽灵）、Meltdown（熔断）类漏洞赏金最高可达25万美元。前不久，微软刚推出的“身份服务漏洞”悬赏计划，最高单价为10万美元。

 

今年，“抠门”的苹果也一反常态，刚公布的 “安全漏洞奖励计划”将最高赏金提升至100万美元。

Facebook不仅悬赏金额高，就连通常不予奖励的第三方应用漏洞也纳入悬赏范围内。

 

除了这些科技巨头之外，还有类似卡巴斯基的一些安全厂商也有自己的漏洞悬赏计划。漏洞赏金逐年攀升、悬赏范围逐步扩大，漏洞之于厂商的重要性不言而喻。

 

 

趋势4：漏洞成国家博弈战略资源

 

上升至国家层面，漏洞作为网络攻防制胜的关键，已是重要战略资源并影响国家博弈。

 

上文提及，中美国家漏洞库2019年收录漏洞接近40000余个，倘若这些漏洞一旦被用于网络攻防实战，无疑将成为国家作战部队取之不竭的军火库。

 

在利用漏洞军火这方面，美国可是前科累累。去年6月，利用未披露漏洞对伊朗**系统发起攻击，美国全面攻陷伊朗**系统。

（著名漏洞军火商Zerodium 发布的2019年漏洞“价牌”）

 

也正是因为漏洞“核武级”的安全威胁，诱发了全球范围内此消彼长的漏洞军备竞赛。

 

NSA美国网络军火库就全球撒网，斥巨资长期搜寻漏洞资源，以色列、英国、俄罗斯、印度也紧随其后，抢占漏洞资源积极备战。

 

 

趋势5：漏洞认知存致命短板

 

网络安全的底线，取决于最短的那块板。

 

相比于军政领域高度重视，关键信息技术设施领域对漏洞的“核级威胁”认知明显偏低，这正是网络安全的短板之一。

就拿航空航天这一关键信息基础设施建设来说，2019 POC安全大会上，曾披露Blockstream卫星链路卫星调制解调器EDMAC远程控制功能的物理地址认证缺失漏洞，可被攻击者用于切断卫星链路。

 

如若这些漏洞被用于国家间的网络对抗，失去卫星通信控制的一方，通信、交通、能源和网络系统都可能遭受灭顶之灾。

 

由此看来，航空航天、电力、水利、石化、冶金、汽车这些关乎国计民生的关键基础设施，不仅安全防护严重滞后，甚至还存在防护能力几乎为零的情况。

 

零日反思

 

漏洞这个网络安全的顽疾，确实有不治恐将深之势。

 

每一个漏洞都是开启全球网络浩劫的入口，它让发现者有了危害社会的巨大能量，尤其是在网络空间国家博弈的情况下，掌握漏洞就如同掌握了军火武器资源。在漏洞“武器化”的当下，国家、企业与个人都应树立网络安全大局观念，将看不见的威胁转变成“看得见”的实力。否则，皮之不存，毛将焉附？

 

零日情报局作品

微信公众号：lingriqingbaoju

如需转载，请后台留言

欢迎分享朋友圈

参考资料：

ZERODIUM：漏洞交易价格变更日志

数世咨询：《2019年网络安全大事记》

来源：freebuf.com 2020-01-09 20:54:54 by: 0day情报局