您所在的位置: 首頁 >
安全研究 >
安全通告 >
盤點 | 近期重大安全漏洞事件
根據(jù)美國國家標準與技術研究所收集的關于常見漏洞(CVE)的數(shù)據(jù)分析,2020年全球的安全漏洞報告比以往任何一年都多。
托管安全服務提供商Redscan的報告顯示,僅2020年報告了18,103個漏洞,其中大多數(shù)被列為高度嚴重級別,占比達57.1%。實際上,2020年披露的高嚴重性和嚴重漏洞數(shù)量超過了2010年披露的漏洞總數(shù)。
安全專業(yè)人士擔心,在2020年記錄的漏洞中,有三分之二以上不需要任何形式的用戶交互。利用這些漏洞的攻擊者甚至不需要其目標就可以在不知不覺中執(zhí)行操作,例如單擊電子郵件中的惡意鏈接。
雜志社梳理了3-5月重大安全漏洞事件,這些事件不僅給企業(yè)帶來數(shù)據(jù)資產(chǎn)的嚴重損失,還帶來了巨大的社會影響。
01 英特爾、AMD CPU再曝高危漏洞 數(shù)十億計算機受影響
披露時間:2021年5月初
漏洞類型:幽靈漏洞。幽靈漏洞的核心是定時邊信道攻擊,它打破了不同應用程序之間的隔離,并利用了CPU硬件實現(xiàn)中一種稱為推測執(zhí)行的優(yōu)化方法,誘使程序訪問內(nèi)存中的任意位置,從而泄漏其秘密。
漏洞危害:泄漏用戶秘密。
影響范圍:5月4日,戴爾公司自曝其上億臺電腦的固件升級驅(qū)動中存在一個長達12年的漏洞(已修復)。5月6日,英特爾、AMD等處理器巨頭的處理器芯片再次發(fā)現(xiàn)新的高危漏洞。
專家觀點:現(xiàn)代處理器中普遍存在的的熔斷漏洞(Meltdown)和幽靈漏洞(Spectre)由于難以修復,幽靈漏洞將困擾我們相當長的時間。
02 高通芯片高危漏洞影響全球40%手機
披露時間:2021年5月初
漏洞類型:緩沖區(qū)溢出漏洞(CVE-2020-11292)。要利用CVE-2020-11292漏洞并控制調(diào)制解調(diào)器,從應用程序處理器中進行動態(tài)更新,攻擊者需要利用高通手機芯片中的Qualcomm MSM軟件接口(QMI)中的一個堆溢出漏洞。
漏洞危害:攻擊者可以利用該漏洞獲取使用手機用戶的短信、通話記錄、監(jiān)聽對話甚至遠程解鎖SIM卡!更可怕的是,該漏洞的利用無法被常規(guī)系統(tǒng)安全功能檢測到。
影響范圍:高通MSM芯片包含2G、3G、4G和5G功能的一系列片上系統(tǒng)(SoC),全部都存在該高危漏洞。目前全球約40%的手機都使用了MSM芯片,其中包括三星、谷歌、LG、OnePlus和小米在內(nèi)的多家手機供應商的產(chǎn)品。
專家觀點:為了保護自己免受利用此類漏洞或相關惡意軟件的攻擊,建議安卓手機用戶將設備盡快更新到最新版本的安卓操作系統(tǒng)。值得注意的是,高通的芯片產(chǎn)品近年來多次爆出高危漏洞。
03 DNS高危漏洞威脅全球數(shù)百萬物聯(lián)網(wǎng)設備
披露時間:2021年4月
漏洞危害:不法分子可以利用這些漏洞使目標設備脫機,或者接管控制并執(zhí)行操作。訪問敏感數(shù)據(jù),破壞生產(chǎn)和醫(yī)療系統(tǒng),危害普通住宅安全。
漏洞類型:DNS漏洞。稱為NAME:WRECK。這些漏洞存在于四個流行的TCP/IP堆棧中,即FreeBSD、IPnet、Nucleus NET和NetX,這些堆棧通常存在于流行的IT軟件和IoT/OT固件中,影響全球數(shù)以百萬計的IoT物聯(lián)網(wǎng)設備。
影響范圍:WRECK漏洞將影響幾乎所有行業(yè)的組織,包括政府、企業(yè)、醫(yī)療、制造和零售業(yè)等。據(jù)悉,僅美國就有超過18萬(英國3.6萬)臺設備受到了影響。
專家觀點:除非采取緊急行動來充分保護網(wǎng)絡及聯(lián)網(wǎng)設備,否則NAME:WRECK漏洞的野外利用只是時間問題,有可能導致主要的政府數(shù)據(jù)被黑客入侵泄漏,制造業(yè)生產(chǎn)中斷或危及服務業(yè)客人的安全。
04 特斯拉重大安全漏洞被公開
披露時間:2021年4月
漏洞危害:先控制無人機懸停在特斯拉上方,然后通過特斯拉的一個軟件連接無人機的Wi-Fi熱點,從而入侵并控制車輛。
漏洞類型:遠程零點擊(zero-click)安全漏洞。研究人員開發(fā)的黑客攻擊程序,可以繞開密鑰卡中新改進的加密技術。研究人員表示,黑客完成第一步攻擊只需要90秒,利用特斯拉無鑰匙進入系統(tǒng)中的安全問題,可以成功將車輛解鎖。
影響范圍:在歐洲,發(fā)生過多起竊賊通過黑客手段盜竊特斯拉汽車的事件,其中大多數(shù)車輛都不知下落。
05 微信Windows客戶端遠程代碼執(zhí)行漏洞
披露時間:2021年4月
漏洞類型:遠程代碼執(zhí)行漏洞(CNNVD-202104-1003)
漏洞危害:攻擊者可以通過微信發(fā)送一個特制的web鏈接,用戶一旦點擊鏈接,微信Windows版便會執(zhí)行攻擊者構造的惡意代碼,最終導致攻擊者控制用戶計算機
影響范圍:微信Windows版3.1.0.41及以下版本均受此漏洞影響。
專家觀點:目前,騰訊官方已發(fā)布最新版本修復了該漏洞,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
06 印度800萬核酸檢測結果泄露:網(wǎng)站漏洞 太低級
披露時間:2021年3月
漏洞危害:通過在URL 中增加或減少數(shù)字就可以看到其他人的核酸檢測結果。每份報告中都有病人的姓名、年齡、性別、家庭地址、核酸檢測結果、檢測日期、報告號、測試實驗室的位置信息等。
漏洞類型:URL漏洞。文本中URL 的結構導致可以獲取base64 編碼的報告的ID號碼(SRF ID),base64編碼的報告號碼可以解碼為簡單的數(shù)字形式,通過在URL 中增加或減少數(shù)字就可以看到其他人的核酸檢測結果。
影響范圍:印度西孟加拉邦衛(wèi)生福利部800萬核酸檢測結果報告泄露
專家觀點:建議在生成公開可訪問的URL時,應加入不可猜測的或隨機的數(shù)據(jù)位來使得無法通過枚舉來獲取信息。
07 微軟漏洞被黑客瘋狂利用,上萬企業(yè)受影響!
披露時間:2021年3月
漏洞危害:通過這些漏洞,攻擊者無需身份驗證或訪問個人電子郵件帳戶即可從Exchange服務器讀取電子郵件。而通過后面的漏洞鏈接,攻擊者則能夠完全接管郵件服務器。Exchange中出現(xiàn)的四個零日漏洞已經(jīng)被至少10個高威脅性黑客組織注意到了,這些黑客組織已經(jīng)在全球100個國家以上的超過5000臺服務器中安裝了后門程序,從而攻擊者可以簡單的通過web瀏覽器對服務器進行遠程控制。
漏洞類型:針對微軟的 Exchange Server(電子郵件服務器)的4 個重大零日漏洞,
影響范圍:全球數(shù)十萬臺Exchange服務器被攻擊,大量企業(yè)、政府部門被感染,超過6萬家組織受影響。
專家觀點:
1、將所有Microsoft Exchange服務器更新為Microsoft提供的最新補丁版本。此更新不會自動進行,需要手動執(zhí)行。
2、實施復雜密碼策略,杜絕弱口令。
3、升級防病毒軟件到最新的防病毒庫,阻止已存在的病毒樣本攻擊。
4、定期異地備份計算機中重要的數(shù)據(jù)和文件,萬一中病毒可以進行恢復。
來源:信息安全與通信保密雜志社