网络安全观察报告设备类漏洞明显增加

漏洞利用

扫描探测 9.34%
发送垃圾邮件
6.44%传播恶意软件
1.13%web
攻击 0.72%代理 0.06%
钓鱼 0.01%
基于对这些“惯犯”的长期跟踪，我们从其攻击特点的攻击系统、攻击服务、攻击方法、攻击类型 四个方面进行画像：
攻击系统
“惯犯”在一次攻击事件中仅针对 和 Unix两种操作系统发起攻击，占比为 承担了绝大多数的攻击。原因在于 容易入侵。
Windows 发起的攻击占比为 80.87%，其次为同时针对 Windows
13.04%。 由此可见，Windows 与其他操作系统相比饱受惯犯青睐， Windows 系统个人电脑多，整体基数大，且可利用的安全漏洞多，
图 3.10 “惯犯”画像之攻击系统
攻击服务
所有的攻击类型中仅 CGI和 SNMP 两项占整体比例的一半以上。CGI是网页表单和程序之间通信的 一种协议，本身并不负责通信，而是将输入数据转化成一种固定格式输出，方便任何符合 CGI协议的程 序调用。SNMP 是简单网络管理协议，实现对网络设备的规范化管理，共有三个版本，其中 2c 版本黑 客利用最多。
图 3.11 “惯犯”画像之攻击服务（前十）
攻击方法
畸形攻击占所有攻击比例的 54.24%，畸形攻击作为网络攻击的一种，主要通过向目标系统发送有 缺陷的报文，使得目标系统在处理这样的报文时耗时很大甚至出错、崩溃，给目标机器构成威胁、带来 很大的损失。除畸形攻击外，暴力猜解、木马攻击、溢出攻击、扫描探测也是“惯犯”常用的攻击手法。
图 3.12 “惯犯”画像之攻击方法
畸形攻击 54.24% 006.暴力猜解 11.94%
木马攻击 8.62%
溢出攻击 8.61%
扫描探测 7.03%
其他攻击 3.95%
CGI攻击 3.68%
网络病毒 1.51%
蠕虫攻击 0.27%
IM/P2P事件 0.10%
企业内部攻击 0.03%
攻击类型
信息收集主要包括收集目标的操作系统类型及版本，目标所提供的服务，各服务器程序的类型与版 本以及相关的社会信息；获取权限一般发生在黑客信息收集活动之后，利用收集到的信息，找到相关的 漏洞，选择相应的攻击方式并实施攻击行为；在获取权限后，黑客可以实现诸如挖矿病毒恶意文件下载 等各类破坏行为。
图 3.13 “惯犯 ”画像之攻击类型
获取权限类 59.61% 可疑网络活动类 31.00%
信息收集类 6.75%
拒绝服务类 1.60%
其他 1.04%

漏洞观察

总体态势

截止 2018 年 12 月 31 日，NVD官网分布的 2018 年 CVE漏洞数目为 1.58 万 ，其中高危漏洞 4096 个。 和 2017 年相比，漏洞总数增长了 8.2%，而高危漏洞减少了 4.8%。漏洞披露数量放缓，可能在于漏洞 报告较以前更加分散化，大量漏洞未得到官方收入。
图 4.1 CVE 漏洞变化趋势
1.2 万
： 1.0 位
单 0.8 0.6 0.4 0.2 0.0
HIGH MEDIUM LOW漏洞总数
我们按照 CWE给出的标准，对漏洞类型进行分类，2018 年的漏洞类型的分布情况如图 4.2 所示。
图 4.2 2018 年 CVE漏洞分类
内存越界操作漏洞 权限控制漏洞 跨站漏洞 输入验证不严格 信息泄露 整数溢出或环绕
SQL注入 资源管理错误 CRSF, 跨站伪造 命令注入
从漏洞类型上看排名前５ 的漏洞类型分别为：

• CWE-119/125 内存越界操作漏洞 通过漏洞，黑客可以获取任意代码执行权限，有时可以造成 系统崩溃。 这类漏洞主要集中在设备固件、操作系统、浏览器、office 及 PDF 等软件，这些软 件对性能要求苛刻，绝大部分都是基于 C/C++ 开发的。这类漏洞数量是最多的，有 1760 个， 其中高危漏洞接近 40%。
• CWE-264/284 权限控制漏洞 这类漏洞与具体业务密切相关，包括越权访问、权限提升等常见 的操作，在服务器操作系统、数据库类应用、内容管理系统方面比较常见。 这类漏洞有 1500 个， 绝大多数漏洞属于中危漏洞。
• CWE-79 跨站漏洞 这类漏洞单个漏洞威胁似乎较小，但是它们数量非常多，在各类建站系统中 尤其常见，几乎防不胜防，它们如果配合其他漏洞使用，通过组合式的攻击手法可以完成复杂 的攻击，进而获得系统权限。
• CWE-20 输入验证不严格 黑客通过畸形的输入，导致程序出现异常的行为，最终实现控制、窃 取、使设备瘫痪等多种攻击目的。
• CWE-200 信息泄露 攻击者触发漏洞能够导致敏感信息泄露。此外在一些设备的固件中，该类 漏能够导致权限控制失效，导致设备失陷，例如 D-Link设备固件 CVE-2018-10106 漏洞。

设备类漏洞明显增加

近几年来，设备类的漏洞快速增长。原因在于制造商对安全的忽，而设备系统难以更新及使用者 对安全的不够重视也是一个不可忽略的因素。
图 4.3 设备类漏洞变化趋势
漏洞数目
由于设备类资源数量大，防御少，获取难度普遍较低，相关的漏洞利用难度也普遍较小，一旦利用 成功能够获取到设备系统较高的权限，因此这类漏洞受到攻击者的关注，需要安全厂商及相关从业人员 格外重视并探索防御的技术与方案。
在 2018 年披露的 CVE 漏洞中，设备类漏洞有 986 个，其中高危漏洞 482 个，占全部高危漏洞的 12%。初步统计，这些漏洞涉及 145 个厂商的 1503 款产品，包括处理器，路由器，摄像头，智能设备 等多种类型。
在 2018 年 1 月，Google 的安全团队发布了 CPU 芯片的两组漏洞，分别是 Meltdown（熔断，CVE- 2017-5754）与 Spectre（幽灵，CVE-2017-5753/ CVE-2017-5715），成为最近几年来严重的安全问题。 在随后的一年中，又有 14 个类似 Meltdown 的漏洞和 13 个类似 Spectre 的漏洞被披露 1。
Meltdown 破坏了位于用户和操作系统之间的基本隔离，此攻击允许程序访问内存，因此其他程序 以及操作系统的敏感信息会被窃取。这个漏洞“熔化”了由硬件来实现的安全边界。允许低权限用户级 别的应用程序“越界”访问系统级的内存，从而造成数据泄露。
Spectre 是一个存在于分支预测实现中的硬件漏洞，含有预测执行功能的现代微处理器均受其影响， 允许恶意进程访问其他程序在映射内存中的内容，是一类潜在漏洞的总和。它们都利用了一种现代微处 理器为降低内存延迟、加快执行速度的常用方法“预测执行”的副作用。具体而言，Spectre 着重于分!
支预测，这是预测执行的一部分。Spectre 不依赖单个处理器上内存管理及系统保护的特定功能，而是 一个更为通用的漏洞。
由于涉及硬件，该漏洞无法通过芯片的微码（microcode）更新进行修复，需要通过内核级别的修 复来解决，据研究表明，修复该漏洞会牺牲 5%-30%的性能。
路由器设备的漏洞，同样也形势严峻。美国消费者协会发布了关于路由器安全的报告《Securing IoT Devices: How Safe Is Your Wi-Fi Router》[^1]，文中指出有 83%的 WiFi路由器存在已经披露的安全漏洞， 这些未及时更新的路由器设备会成为网络攻击的入口，给消费者带来经济和隐私方面的损失。
在 2018 年 3 月，Cisco 发布的一个远程代码执行漏洞 CVE-2018-0171，4 月 6 日，一个名为 “JHT” 的黑客组织利用这这个漏洞攻击了包括俄罗斯和伊朗在内的多个国家网络基础设施。
2018 年 4 月 30 日，Mentor 公布了 GPON 路由器的两个高危漏洞，绕过验证漏洞 (CVE-2018- 10561) 和命令注入漏洞 (CVE-2018-10562)。结合这两个漏洞，只需要发送一次请求就可以在 GPON 路 由器上执行任意命令。在该漏洞披露后的十天内，该漏洞就已经被多个僵尸网络家族整

恶意流量观察

漏洞利用

我们按照漏洞所在的主机环境或业务场景，将漏洞粗略的划分为服务器漏洞、桌面应用漏洞和设备 漏洞。其中服务器漏洞主要为服务器上的系统服务与程序，用于支撑或提供网络管理与实际业务，常见 的服务包括邮件、HTTP、网站脚本语言解析等；桌面应用主要提供文档、多媒体、主机管理等功能， 常见的包括各类客户端（例如浏览器、邮件客户端）、杀软、Office 办公软件、Flash 播放器、PDF 阅 读器等，这类软件漏洞常常被利用，常见的是通过恶意邮件、恶意网页的方式传播，通过诱使用户执行 来感染目标主机；设备漏洞属于比较特殊和新晋的漏洞类型，包括各类移动终端、物联网设备等，他们 共同构成一种新的威胁类型。
图 5.1 漏洞利用各类型占比
服务器漏洞
其它漏洞
设备漏洞 43%
桌面应用漏洞

参考资料

绿盟 2018年网络安全观察报告

友情链接

GB-T 20009-2019 信息安全技术 数据库管理系统安全评估准则