绒绒说漏洞（下）：“旧”漏洞的持续威胁

相互找漏洞的巨头

全世界有不少黑帽、白帽在挖掘漏洞。其中黑帽就属于我们常说的，利用漏洞发起攻击的骇客。而白帽，则是与之相反，他们对网络安全有着极大的兴趣，并通过个人技能帮助企业挖掘漏洞。这对于软件厂商来说是非常有益处的，所以国内外的多数软件厂商，会建立自有的威胁情报平台（SRC），通过设置奖励、赏金的方式，收集这些外界挖掘的漏洞。

一些大厂及时响应自身的漏洞外，也会关注与用户相关的其他产品漏洞，以及前沿技术的漏洞研究。这就不得不提到谷歌和微软这对“冤家”了。这两大厂商之间一直存在争端，在漏洞这事儿上也是如此，互相找漏洞的情况已经是司空见惯。曾有报道称，在某一期的微软产品更新中，有一半漏洞都是由谷歌工程师发现的。

这样的“相互竞争”其实可以算一件好事，毕竟漏洞少一个用户就更安全一分。不过这两个“当事人”就没那么舒服了。曾多次出现谷歌在给微软递交漏洞信息后，微软没有在其规定期限给出补丁，最后谷歌将漏洞细节公开的情况。谷歌这样的作法也引起了微软方面的强烈控诉。

<<< 滑动查看更多图片 >>>

谷歌和微软争论的点在于漏洞如何披露这件事，其实对此安全界也一直在讨论。目前发现漏洞后披露的类型主要分为4种：不披露、完全披露、负责任的披露和协同披露。前两种很好理解，就是完全不公开，或者发现后直接公开。这对于软件厂商和用户来说，都存在较大弊端。所以有一部分厂商和安全研究员（如谷歌）选择“负责任的披露”，通过规定修复期限，即达到给外界公开漏洞信息的目的，又给了厂商修复的时间。当然这样漏洞发现者和厂商之间会因为修复时间而存在争议。微软从2010年开始推行漏洞“协同披露”机制，其建立在“负责任的披露”的基础上，引入了协调者（如国家级CERT、安全研究组织、中间平台等），达到双方协同合作的目的。

漏洞的“武器化”

玩过“我的世界”的同学应该都知道，身上不带点武器是无法生存的，基本也得带两把木剑，厉害的拿把钻石剑，再付个魔。在自己家里也得有个专门放武器的箱子。这些武器不仅需要收集材料，还得进行制作。像绒绒我这么机智（懒）的队友嘛，一般都是直接拿别人做好的用。

正如我们用素材制作剑和弓一样，漏洞也可以作为“素材”被用来“制作”成有破坏性的武器。这个过程，就可以说是漏洞的“武器化”了。将被“武器化”的漏洞和其他攻击工具、攻击技术综合起来，可以堪称为安全对抗中的"武器库"。最著名的“武器库”应该就是2016年，黑客团伙“影子经纪人”公开拍卖的美国国家安全局（NSA）的武器库。其中包含了永恒之蓝漏洞在内的多个漏洞以及攻击工具。

其他比较著名的“武器库”：

01

2017年，维基解密也曾公布了美国中情局（CIA）的“武器库”。其中包含各类设备的安全漏洞利用，以及远程控制、监听等多种间谍技术和工具。

02

FIREEYE 红队工具：FireEye（著名的安全公司） 在2020年12月8日透露，自己曾被入侵，黑客夺取了FireEye所使用的“网络武器库”，其实是FireEye自己使用的Red Team工具。

03

CANVAS：CANVAS是Immunity公司开发的专业安全工具包，为全球渗透测试人员和安全专业人员提供数百种漏洞利用，是一个自动化的漏洞利用系统以及一个全面、可靠的漏洞利用开发框架。

04

Hacking Team：Hacking Team是意大利监控软件厂商，曾一度以协助政府监视公民而“闻名于世”。

当漏洞出现PoC和EXP，就说明其威胁很大，甚至已经被利用。而如果漏洞一旦被“武器化”了，那么其风险等级就成倍数上涨了。这意味着对这个漏洞的利用变得更加容易和便捷，攻击者甚至不需要具备专业技术就可以使用。就好像我直接拿别人做好的剑使用一样。并且，各种黑客和组织还会不断更新、壮大自己的“武器库“。如随着“武器库”集成化程度越来越高，黑客攻击也降低了难度，这对为企业和用户的信息安全带来了更多的风险。

“旧漏洞”的持续威胁

IBM X-Force年初曾发布报告表示，2020年所发现的攻击趋势中，三大初始攻击媒介之一就是“漏洞的扫描和利用”。其中，威胁实施者更可能利用2019年或更早版本的漏洞，这是由于利用新漏洞存在一定难度，同时许多用户修补旧漏洞也存在一定难度。

这一内容与火绒威胁情报系统统计数据一致，我们发现，近半年被用来发起攻击的漏洞Top10，均为2020年及之前更早的漏洞。其中70%的漏洞公开时间在1年以上，最长时间已经长达13年。而高居首位的永恒之蓝漏洞，从公开至今也已经有4年时间了。

通过对这些漏洞分析发现，这些漏洞大多具备以下特点：

不需要登录验证和交互，直接通过网络就可以攻击、远程执行、默认系统开放对应端口、利用代码容易获得等。

简单总结就是：1、这些漏洞利用起来很简单；2、这些漏洞普遍已经被“武器化”，获取容易，使用简单。

也就是说，比起新发现的漏洞来说，有些漏洞虽然从发布时间来看比较“旧”，但由于其可利用性强，且外界已经有很多针对其开发的利用代码或工具，让这些旧漏洞具备“简单易用”的优势，受到黑客的青睐。再加上部分用户在漏洞修复方面有所欠缺，所以黑客利用这些旧漏洞的攻击仍然能“有所收获”。

无论是操作系统、业务系统还是物联网设备，均有可能出现高危漏洞，所以我们建议用户

1、及时关注各厂商的相关公告，进行版本升级、补丁更新。如果不便进行完整修复，也应该对一些关键性的漏洞进行修复。

2、使用防火墙、IDS、IPS等设备，并同时部署EDR等终端威胁防护系统，进一步深入实现防御。

很多领域都有存在漏洞的情况。比如法律漏洞、管理漏洞等等……漏洞的产生是因为人，也有人直接的说”人类就是最大的漏洞“。但正因如此，人们也在不断地挖掘和修复漏洞，在不断和漏洞对抗的过程中，尽可能的去提升自身能力。正如《托尔斯泰传》中说过的一句话：“人类的使命在于自强不息地追求完美”

如果你有感兴趣的安全话题，也可以在留言区告诉我们哦~