漏洞資訊 Vulnerability Information
零時差資安漏洞激增,短短一個多月爆出20個零時差漏洞
2023-10-31對多數人而言,一談到駭客挖掘並成功利用的零時差漏洞,可能都會認為是 微軟、Google、蘋果等大型科技公司產品的漏洞,又或是企業IT、網通、資安設備的漏洞,其實,相關的風險不僅止於此,最近一個多月以來,多家科技大廠修補零時差漏洞,以及這些漏洞在短時間內就被廣泛利用的新聞不斷,在整理這些消息的過程中,我們發現,有個議題需要大家格外重視,那就是「攻擊者找出這些漏洞、進而濫用的對象,有不少是涉及廣泛運用的開源程式庫與標準協定,因此,這些問題往往造成更大的影響。」
基本上,關於零時差漏洞(zero-days),原本的定義是廠商公告他們掌握的漏洞,但可能當下無法提供修補、緩解方式,或是提供這些修補措施,但用戶如果沒有盡快處理這些問題,會形成防護空窗期。
零時差漏洞利用的活動可分為兩類:
-
攻擊者先發現新的未知漏洞、用於攻擊行動後,經過資安業者調查,才知道以這樣的漏洞,並且需要打造修補程式。
-
有新的漏洞被公開,但還沒有修補程式釋出,因此將有零時差漏洞的風險,可能有攻擊者在修補釋出前成功利用,或是根本不會有修補情形。
今年攻擊者濫用零時差漏洞情況大增
根據統計2023年度9~10月,就出現多達20個零時差漏洞已遭利用的消息,逼每兩天就冒出1個零時差漏洞的狀態。事實上,單就2023一整年而言,零時差漏洞數量之多,可能不只是超越以往,而是大暴增!再從個別廠商修補動向來看,今年初至10月11日,微軟已修補24個零時差漏洞,蘋果已修補16個零時差漏洞。
以下舉幾個近期漏洞攻擊的例子:
-
9月6日思科公布漏洞修補消息,多家資安業者指出發動濫用攻擊的是Akira勒索軟體組織。
-
9月7、11日的蘋果與Google發布零時差漏洞修補,加拿大公民實驗室指出,攻擊這些漏洞的團體,是一間商業間諜公司NOS Group。
-
9月21日蘋果公布漏洞修補,加拿大公民實驗室與Google TAG小組指出,發動攻擊者也是間商業間諜公司 Cytrox。
-
10月4日Atlassian 發布漏洞修補,微軟指出濫用此漏洞進行攻擊的是中國駭客組織Storm-0062。
對於零時差漏洞的因應挑戰,從近期事件注意到一件事,有些漏洞利用情形並不容易被追查出,例如9月6日思科所示警並公布的漏洞CVE-2023-20269 ,揭露了起因是AAA協定與其他軟體功能缺乏適當區隔,並提及漏洞是在解決思科技術支援案例時發現,也感謝Rapid 7 通報了漏洞利用的情形。這個漏洞的CVSS評分為5.0,並不高 但其實思科在8月24日的Cisco上,就曾經表示警覺相關威脅報告,指出勒索軟體組織Akira鎖定未啟用MFA的思科VPN情形,而且還有多家資安業者早就發現跡象,例如 Sophos 在5月看到勒索軟體Akira的攻擊手法,疑似是針對尚未採用雙因素驗證的SSL VPN 系統下手,經確認後被針對的SSL VPN系統廠牌是思科。
以下補充幾點可能會助長零時差漏洞激增的原因:
-
雲端運算、物聯網等新興技術的興起,增加了系統與裝置的複雜度,也帶來了更多的安全漏洞。
-
駭客攻擊手段的不斷演進,也使得零時差攻擊更加容易。
-
軟體/平台供應商開始會在修補的漏洞中,註明是否已被開採,使得駭客可以更容易鎖定尚未修補的漏洞,並利用這些漏洞發動攻擊。
-
組織安全意識的提高,也讓駭客必須採用更先進的零時差攻擊程式,才能成功入侵目標系統。
換言之,這個零時差漏洞帶來的危害,可能已經長達半年之久。而並非我們可能想像的,一旦零時差漏洞被利用於攻擊行動,外界很快就可以發現並予以修補,減少備受攻擊的風險。
相關建議
企業和組織應採取以下措施,降低零時差漏洞的風險:
-
盡快安裝軟體廠商提供的安全更新。
-
使用資安工具來監測網路流量,並偵測可能的攻擊行為。
-
建立完善的資安事件應變計畫,以便在發生攻擊時迅速採取行動。
參考資訊: