2021年零日漏洞数量创新记录

VSole2021-09-26 09:56:25

2021年,零日漏洞的数量增长了一倍,价格增长了十倍,但攻击回报增长了百倍!

零日漏洞利用,即通过以前未知的漏洞发起网络攻击的方式,是黑客手中最有价值的武器,因为这些漏洞在公开市场上的价格很轻松就能超过100万美元。

近日,麻省理工科技评论走访了多个数据库、安全研究人员和网络安全公司,发现今年网络安全防御者的人数达到了有史以来的最高水平,但零日漏洞的数量也创下了新的记录。

根据零日漏洞追踪项目的统计(下图),2021年至今至少发现了66个零日漏洞,几乎是2020年总数的两倍,比有记录的任何一年都多。

虽然创纪录的数字引起了人们的注意,但很少有人知道这意味着什么。这是否意味着零日漏洞的利用也比以往任何时候都多?还是防御者更擅长抓住他们以前会漏掉的黑客?

微软云安全副总裁Eric Doerr说:“零日漏洞确实在增长。” “有趣的问题是,这意味着什么?天要塌了吗?也许,事情比想象的要微妙。”

黑客正在“全力以赴”

零日漏洞报告率较高的一个原因是黑客工具在全球范围内迅速扩散。

此外,强大的团体都在向零日内投入大量资金以供自己使用——他们正在收获回报。

处于食物链顶端的是政府资助的黑客。美国网络安全公司FireEye Mandiant的漏洞和利用主管贾里德·塞姆劳(Jared Semrau)表示,美国及其盟国显然拥有一些最复杂的黑客能力,并且越来越多地谈论更积极地使用这些(零日漏洞利用)工具。

Semrau说:“我们(美国)拥有一流的高级间谍,他们肯定以我们过去几年从未见过的方式全力运作。想要零日漏洞的国家很多,但大多不具备中美的实力,因此他们改为购买它们。”

从不断增长的漏洞利用公开市场购买零日漏洞比以往任何时候都容易。曾经非常昂贵和高端的漏洞和工具现在更容易获得。

“我们看到很多国家或集团选择从NSO或Candiru购买,二者日益知名的黑客技术服务让各国可以用金融资源来换取进攻能力,”Semrau说。阿拉伯联合酋长国、美国以及欧洲和一些亚洲强国都向此领域投入了大量资金。

而网络犯罪分子,也已使用零日攻击赚钱——发现软件缺陷,然后部署高额勒索计划。

“有经济动机的攻击者比以往任何时候都更加老练,”Semrau说。“我们最近追踪的零日事件中有三分之一可以直接追溯到有经济动机的行为者。因此,他们在这一增长中发挥了重要作用,我认为很多人并没有对此给予足够的重视。”

网络防御正变得高效

虽然可能有越来越多的人开发或购买零日漏洞,但被发现的零日漏洞数量创纪录并不一定是坏事。事实上,一些安全专家表示,这可能主要是好消息。

在如此短的时间内,零日漏洞攻击的总数增加了一倍多(还只是被捕获的数量),表明网络防御者越来越善于在行动中抓住黑客。

这一趋势可能反映出的一个变化是,有更多资金可用于防御,尤其是来自科技公司为发现新的零日漏洞而提出的更大的漏洞赏金和奖励。但也有更好的工具。

Azimuth Security的创始人Mark Dowd表示,防御者显然已经从只能捕获相对简单的攻击进化到能够检测更复杂的黑客攻击。“我认为这意味着检测更复杂攻击的能力有所提升,”他说。

谷歌的威胁分析小组(TAG)、卡巴斯基的全球研究与分析团队(GReAT)和微软的威胁情报中心(MSTIC)等组织拥有大量的人才、资源和数据——事实上,他们可以与情报机构检测和跟踪对手黑客的能力。

微软和CrowdStrike等公司都在大规模运行检测工作。旧工具(例如防病毒软件)对异常活动的关注较少,而今天,一家大公司可以在数百万台机器上捕获一个小的异常,然后将其追溯到用于入侵的零日漏洞。

然而,现实比理论要混乱得多。今年早些时候,多个黑客组织发起了针对Microsoft Exchange电子邮件服务器的攻势。在漏洞补丁发布到用户部署的这段窗口期大量黑客攻击成功实施了零日攻击,而这个窗口期也成了黑客最喜欢的甜蜜点。

漏洞利用变得越来越难,越来越有价值

即使曝光的零日漏洞数量激增,但所有安全专家都同意一个事实:它们越来越难以利用,成本也越来越高。

更好的防御和更复杂的IT系统意味着黑客必须比十年前做更多的工作才能侵入目标,这意味着攻击成本更高,需要更多资源。然而,回报是,由于有如此多的公司在云中运营,一个漏洞可能会让数百万客户面临攻击。

“十年前,当一切IT系统都在企业内部运行,很多攻击只有被入侵的公司才能看到,”Doerr说,“而且很少有公司能够了解正在发生的事情。”

面对改进的防御,黑客通常必须将多个漏洞组合利用,而不是只使用一个。这种“漏洞利用链”需要更多的零日漏洞。成功发现这些“利用链”也是零日漏洞曝光数量激增的部分原因。

如今,Dowd表示,攻击者“必须通过拥有这样的利用链来实现他们的目标,这意味着需要在零日漏洞上进行更多投资并承担更多风险。”

一个重要信号是,最有价值的漏洞利用成本的飙升。根据有限的可用数据(例如Zerodium上公开的零日漏洞价格)过去三年中,最高端的零日攻击成本上涨了1,150%。

但即使零日漏洞攻击更加困难,成本飙升,但由于需求也快速增长,零日漏洞的供应依然能保持增长。对于安全防御者来说,2021年天可能不会塌下来,但也不会是晴天。

网络安全零日漏洞
本作品采用《CC 协议》,转载必须注明作者和本文链接
2021年最后一个季度与第三季度相比,感在本季度,专业服务部门是攻击的最大目标,其次是技术/电信、医疗保健、制造业、金融服务和教育部门。 尽管CVE和零日攻染载体为CVE或零日漏洞的攻击数量疯狂增长了356%。Kroll公司的最新威胁景观报告显示,CVE/零日漏洞利用现在已经占到安全事件案例的26.9%,表明攻击者越来越善于利用漏洞,在某些情况下,甚至在概念验证漏洞出现的同一天就利用了这些漏洞
网络安全和IT管理软件巨头Ivanti的两款产品(Connect Secure VPN和Ivanti Policy Secure网络访问控制设备)曝出的两个零日漏洞近日在全球范围被大规模利用于部署后门、挖矿软件和自定义恶意软件。
网络安全公司NCC Group周日表示,它已检测到针对SonicWall网络设备中零日漏洞的主动攻击。有关漏洞性质的细节尚未公开,以防止其他威胁行为者对其进行研究并发动自己的攻击。NCC研究人员表示,他们已在周末通知SonicWall这个漏洞和攻击。研究人员认为,他们发现了与SonicWall 1月23日披露的安全漏洞相同的零日漏洞,一名黑客利用该漏洞进入SonicWall自己的内部网络。SonicWall发言人未回复置评请求,以确认NCC研究人员是否发现了相同的零日或新的零日漏洞
7月底,谷歌网络安全项目Project Zero发布报告,描述2019年网络攻击中的漏洞利用,得出了关于零日漏洞检测的一些有趣结论。Stone还指出,在微软产品中发现的11个零日漏洞里,只有4个针对Windows 10用户,这也可能是检测偏差的一个指征。相反,这一现象恰恰表明,安全行业应该重点检测针对上述操作系统的攻击。这很令人惊讶,因为供应商应该更便于检测零日漏洞
一些没有被软件制造商所发现的漏洞,正在被很多的黑客组织以及勒索软件团伙进行利用。PrestaShop表示,没有被攻击的用户,在不需要使用MySQL Smarty缓存存储功能的时候,建议删除该功能,虽然这个功能是默认禁用的,但是调查发现,这次的攻击中有黑客独立启用它的证据。
未经身份验证的攻击者能够利用Ultimate Member插件中的这个特权提升漏洞来创建具有管理员权限的恶意账户,从而完全接管受影响的网站。WPScan的博客表明,这些攻击至少从6月初以来一直在进行,一些用户已经观察到并报告了相关可疑活动,如未经授权的管理员账户的创建。作为对此漏洞的回应,Ultimate Member插件的开发者立即发布了一个新版本2.6.4,然而仍然存在绕过此补丁的方式,漏洞仍能够被利用。
梭子鱼于5月20日向所有邮件安全网关设备推送安全补丁解决了该问题,并在一天后通过部署专用脚本阻止攻击者访问受感染的设备。5月24日,梭子鱼警告客户其邮件安全网关设备可能已被攻击者利用零日漏洞入侵,建议他们展开安全审查,确保攻击者没有横向移动到网络上的其他设备。
1、Accellion零日漏洞攻击:及时更新并安装补丁 2021年2月,美国、加拿大、荷兰及其他国家和地区的多个组织遭到严重的数据泄露,原因在于使用的FTA(File Transfer Appliance)文件传输服务存在漏洞。其中,美国零售巨头克罗格是最大的受害者之一,旗下药房及诊所的员工及服务客户数据被曝光。另外,能源巨头壳牌公司、众达律师事务所、新加坡电信、华盛顿州和新西兰储备银行等均在受
研究人员近期发现,Lazarus 黑客组织正在试图利用 Windows AppLocker 驱动程序 appid.sys 中的零日漏洞 CVE-2024-21338,获得内核级访问权限并关闭安全工具,从而能够轻松绕过 BYOVD(自带漏洞驱动程序)技术。
VSole
网络安全专家