2020年度漏洞态势报告.docx

² 奇安信CERT监测到互联网中的网络安全漏洞信息整体呈爆发增长趋势，其中微软、Oracle、Google等软件巨头的安全漏洞在全年的占比依然较大。在APT方向攻击者选用的漏洞目标逐渐从Windows下的原生浏览器，向Chrome、Firefox等用户量更大的浏览器转移。 ² 奇安信CERT致力于向客户提供监测全面、响应迅速、认定客观、建议可行的漏洞情报。 ² 受地缘政治局势影响，网络设备相关漏洞增幅较大，攻击组织更喜欢使用利用门槛低、危害大的网络设备漏洞作为攻击突破口。 ² 漏洞细节一旦在网络上公开，漏洞将极大可能由理论威胁上升为实际威胁，如Citrix ADC和Citrix Gateway远程代码执行漏洞，从漏洞公告发出到成熟完整的具有实际威胁的EXP出现仅用了5天时间，甚至快于官方补丁修补的时间。F5 BIG-IP TMUI 远程代码执行漏洞更是直接监测到了漏洞利用代码。对重要漏洞进行长期的持续监测是规避安全风险的有效方法。奇安信 CERT 已经建立起有效的漏洞持续监测与响应机制，可及时全面的响应全网重要高危漏洞。 ² 面向资产、配置、漏洞、补丁的系统安全工作可提高企业漏洞修复的确定性，实现及时、准确、可持续的系统安全保护。 ² 随着互联网的发展和 5G 网络的建设，当前进入了海量数据处理时代。漏洞的处理从人工转向自动化成为必然趋势。传统“条文式”漏洞修补和防护的管理模式，已经无法适应数字化转型深入的要求，安全能力体系及安全运行体系的升级，需要更加先进的漏洞情报体系进行支撑。奇安信CERT将漏洞处理流程化、系统化，通过大数据处理和人工智能的方式将海量信息进行过滤、去重、匹配、筛选，达到人工可处理的数量级。大大提升了漏洞处理的效率和准确性。 ² 在5G通讯技术、相关安全研究技术及逆向工程工具（Ghidra、IDA Pro等）快速发展以及缺乏常见的安全防护等因素的共同作用下，IoT漏洞数量持续上升。 2020，注定是不平常的一年，受国内外疫情影响，很长一段时间内工厂停工、停产，学校停课、停学，企业办公也受到了不同程度的影响。 平静的湖面下暗潮汹涌，2020年以漏洞挖掘和漏洞利用为核心的网络攻击，在无数的地方不断发生着。纵观全年，业界共提交了CVE漏洞1万3千余个，较2019年17304个增长趋势有所放缓。国家信息安全漏洞共享平台CNVD收录的漏洞仍在不断突破新的记录，2020年CNVD收录的漏洞总数较2019年同比增长24.23%。面对如此庞大的漏洞数量，奇安信监测与响应中心（奇安信CERT）建立了适合自己的漏洞情报方法论，从漏洞监测、漏洞评价、漏洞处置以及漏洞情报输出四方面进行全方位的整理，以客户优先的原则向客户输出优质的漏洞情报。 在2020年度，奇安信CERT作为安全研究团队向WebLogic、Jackson等安全厂商共提交了十余个研究发现漏洞，并对全年度的热点漏洞进行了深入研究，以创新优先的原则向公众输出我们的研究成果。 道阻且长，行则将至。对于安全而言，没有一劳永逸的解决方案，攻防交替的博弈中，率先掌握漏洞情报的一方，往往更加容易占据优势地位。 由此，奇安信安全监测与响应中心（奇安信CERT）、奇安信红雨滴高级威胁研究团队（天眼实验室）、奇安信技术研究院联合发布《2020年度漏洞态势观察报告》，从漏洞视角出发，梳理全年漏洞数据、分享漏洞研究成果、总结漏洞监测与响应方法论，并以此展望安全漏洞发展趋势。旨在为各企事业单位持续提供精准漏洞情报、为各行业安全能力建设提供参考。 奇安信安全监测与响应中心 奇安信应急响应部（奇安信CERT）成立于2016年，隶属于奇安信旗下的安全监测与响应中心，旨在第一时间为客户提供漏洞或网络安全事件安全风险通告、响应处置建议、相关技术和奇安信相关产品的解决方案。早在Oracle 2020年第二季度关键补丁更新公告中，就被评为了“在线状态安全性贡献者”。并且多次率先提供WebLogic、Jackson等重大安全问题的风险通告及可行的处置措施并获得官方致谢。同时奇安信CERT在Web漏洞研究、二进制漏洞研究、前瞻性攻防工具预研等方面均积累了丰富的经验。欢迎大家关注公众号【奇安信 CERT】了解更多有趣信息。 奇安信威胁情报中心 奇安信旗下的高级威胁研究团队红雨滴（天眼实验室）,成立于2015年，持续运营奇安信威胁情报中心至今，专注于APT攻击类高级威胁的研究，是国内首个发布并命名“海莲花”（APT-C-00，OceanLotus）APT攻击团伙的安全研究团队，也是当前奇安信威胁情报中心的主力威胁分析技术支持团队。目前，红雨滴团队拥有数十人的专业分析师和相应的数据运营和平台开发人员，覆盖威胁情报运营的各个环节：公开情报收集、自有数据处理、恶意代码分析、网络流量解析、线索发现挖掘拓展、追踪溯源，实现安全事件分析的全流程运营。 奇安信技术研究院 奇安信技术研究院是专注于网络空间安全相关技术的研究机构，聚焦网络空间安全领域基础性或前沿性的研究课题，结合国家和社会的实际需求，开展创新性和实践性的技术研究。研究院在互联网基础设施领域，软件基础分析方法和漏洞挖掘技术有多年的研究基础，并建立了互联网基础数据安全平台、威胁分析系统、软件行为分析系统、软件空间安全测绘系统和物联网安全分析平台。 年度漏洞处置情况 2020年奇安信CERT共监测到漏洞信息 奇安信 CERT将互联网上包含漏洞相关内容的信息统称为漏洞信息。 83692条 报告中的数据为奇安信CERT监测数据，时间截止到2020年12月24日。 ，经过NOX安全监测平台筛选后，其中750条漏洞信息达到奇安信CERT的处置标准并进行初步研判，并对较为重要的661条漏洞信息进行深入研判。 相比于2019年，2020年新增了30252条漏洞信息，研判后的漏洞环比增长153.4%，深入研判的漏洞环比增长123.3%。 每月的漏洞信息数量增长曲线如图1-1所示，微软和Oracle同时发布补丁通告的月份（一月、四月、七月、十月）漏洞数量会明显增多，软件巨头的补丁发布仍然主导着漏洞趋势。 2020年上半年由于受新冠疫情的影响整体漏洞量较少，下半年疫情逐步平稳后漏洞数量逐步增加。 图 1-1 每月漏洞新增 奇安信CERT结合CVSS评价标准以及漏洞产生的实际影响将漏洞定级分为高、中、低危三种等级，用来评价漏洞不同的影响程度。2020年奇安信CERT初步研判的750条漏洞信息 中，各个等级按数量分布如图1-2所示。 图1-2 漏洞危害占比 其中低危漏洞占比24%，此类漏洞利用较为复杂或对可用性、机密性、完整性造成的影响较低；中危漏洞占比31%，此类漏洞产生的影响介于高危漏洞与低危漏洞之间，可能需要一些复杂的配置或对漏洞成功利用的要求较高；高危漏洞占比45%，此类漏洞极大可能造成较严重的影响或攻击成本较低。 对于进行初步研判的750条漏洞信息的漏洞类型奇安信CERT对其进行了分类总结，如图1-3所示，其中占比最高的五种类型分别为：代码执行漏洞、拒绝服务漏洞、权限提升漏洞、信息泄露漏洞、安全特性绕过漏洞。 图 1-3 漏洞类型占比 年度热门漏洞 奇安信CERT持续关注每个漏洞的全网讨论情况，对于讨论次数较多的漏洞我们会特别关注并给予热度值。2020年度总舆论热度值排行榜 TOP20漏洞如表1-1所示， 表1-1 总舆论热度值排行榜 漏洞编号 热度 漏洞名称 影响组件 CVSS CVE-2019-19781 1084 Citrix ADC和Citrix Gateway远程代码执行漏洞 Citrix ADC和Citrix Gateway 9.8 CVE-2020-0796 985 Microsoft SMBv3远程代码执行漏洞 SMBv3 10.0 CVE-2020-0601 952 Microsoft Windows CryptoAPI欺骗漏洞 Windows CryptoAPI 8.1 CVE-2020-1472 664 Microsoft NetLogon特权提升漏洞 NetLogon 10.0 CVE-2020-5902 595 F5 BIG-IP 远程代码执行漏洞 F5 BIG-IP 9.8 CVE-2020-11651 412 SaltStack身份验证绕过漏洞 SaltStack 9.8 CVE-2020-1350 381 Microsoft Windows DNS Server远程代码执行漏洞 Windows DNS Server 10.0 CVE-2020-0688 378 Microsoft Exchange远程代码执行漏洞 Exchange ECP 8.8 CVE-2020-0674 326 Microsoft Internet Explorer JScript远程代码执行漏洞 Internet Explorer JScript 7.5 CVE-2020-11652 305 SaltStack目录遍历漏洞 SaltStack 6.5 CVE-2020-2883 246 Oracle Coherence 远程代码执行漏洞 Coherence 9.8 CVE-2020-0022 236 Android 蓝牙模块远程代码执行漏洞 Android 蓝牙模块 8.8 CVE-2020-16898 203 Microsoft Windows TCP/IP 远程代码执行漏洞 Windows TCP/IP 8.8 CVE-2019-11510 194 Pulse Secure SSL VPN 多个版本任意文件读取漏洞 HTML5 Access 10.0 CVE-2020-1938 192 Apache Tomcat 服务器文件包含漏洞 Tomcat 9.8 CVE-2020-0609 178 Microsoft Windows远程桌面网关(RD Gateway)远程代码执行漏洞 Windows远程桌面网关 9.8 CVE-2019-17026 178 Firefox远程代码执行漏洞 Mozilla Firefox 8.8 CVE-2020-0610 168 Microsoft Windows远程桌面网关(RD Gateway)远程代码执行漏洞 Windows远程桌面网关 9.8 CVE-2020-0932 159 Microsoft SharePoint 远程代码执行漏洞 SharePoint 8.8 CVE-2020-0687 158 Microsoft Graphics 远程代码执行漏洞 Windows字体库 8.8 奇安信CERT对各厂商漏洞处置情况 奇安信CERT持续监测国内外各厂商的漏洞披露情况，2019年和2020年各厂商漏洞处置数量如图1-4和图1-5所示： 图1-4 2019年各厂商漏洞处置数量 图1-5 2020年各厂商漏洞处置数量 从以上两张图的对比可以看出，微软、苹果、Oracle、IBM这类商业软件漏洞多发，且因为其基本有节奏的发布安全补丁，为漏洞处置的关注重点。开源软件在企业中越来越多的使用，关注度逐渐攀升。部署在网络边界的网络设备在攻防行动中占据了重要地位。 年度漏洞挖掘情况 奇安信CERT除了漏洞的持续监测工作还向诸多厂商提交了漏洞，多次获得官方致谢。奇安信CERT2020年度漏洞挖掘情况如表1-2所示： 表1-2 奇安信CERT2020年度漏洞挖掘情况 厂商 CVE编号 漏洞名称 CVSS Oracle CVE-2020-2798 WebLogic 远程代码执行漏洞 7.2 CVE-2020-2963 Oracle WebLogic Server 远程代码执行漏洞 4.9 CVE-2020-14645 Oracle Fusion Middleware WebLogic Server Core组件安全漏洞 9.8 CVE-2020-14841 Oracle WebLogic Server 远程代码执行漏洞 9.8 CVE-2020-14750 Oracle WebLogic Server 远程代码执行漏洞 9.8 CVE-2020-2829 Oracle WebLogic Server远程信息泄露漏洞 4.9 CVE-2020-14636 Oracle Fusion Middleware WebLogic Server 信息泄露漏洞 6.1 CVE-2020-14637 Oracle Fusion Middleware WebLogic Server 安全漏洞 6.1 CVE-2020-14638 Oracle Fusion Middleware WebLogic Server 安全漏洞 6.1 CVE-2020-14639 Oracle Fusion Middleware WebLogic Server 信息泄露漏洞 7.5 CVE-2020-14640 Oracle Fusion Middleware WebLogic Server 安全漏洞 6.1 CVE-2020-14652 Oracle Fusion Middleware WebCenter Sites 安全漏洞 6.5 FasterXML CVE-2020-11620 Jackson-databind远程代码执行漏洞 8.1 Microsoft CVE-2020-17144 Microsoft Exchange 远程代码执行漏洞 8.4 年度热门漏洞有如下几个特点： 1、漏洞利用门槛极低，危害巨大，且相关产品用量较大。漏洞利用脚本编写难度低，很快被攻击组织利用来进行大规模武器化攻击。 2、软件巨头的高危漏洞通常受到极大的关注，话题性强，研究价值高 因此，软件巨头的高危漏洞和众多利用门槛相对较低的漏洞应该是漏洞应急响应的重中之重。 年度APT组织漏洞利用情况 2020年，随着全球地缘政治局势动荡，APT（高级持续性威胁）组织的攻击活动也愈发凶猛。 在利用漏洞攻击方面，不同的APT组织采取的策略也不大一致，奇安信CERT根据奇安信威胁情报中心持续监测到的数据对2020年攻击组织经常使用的漏洞进行分类总结，从中窥探未来的APT组织漏洞利用趋势。 从奇安信威胁情报中心得到的数据上看，攻击组织在面对高价值目标时，必要情况下会使用0day漏洞，而值得注意的是，一旦攻击组织使用0day漏洞作为攻击入口，那么其后续使用的提权漏洞同为0day漏洞的概率极高。 据奇安信威胁情报中心监测到的在野攻击事件中，2020年攻击组织主要使用的0day漏洞大体可分为：浏览器漏洞、个人操作系统漏洞、企业级网络设备漏洞、移动端漏洞。其中攻击组织重点使用的漏洞如表1-3所示： 表1-3 攻击组织重点使用的漏洞 漏洞分类 CVE编号 漏洞名称 CVSS 漏洞定级 浏览器漏洞 CVE-2019-17026 Firefox远程代码执行漏洞 8.8 高危 CVE-2020-0674 Microsoft Internet Explorer JScript远程代码执行漏洞 7.5 高危 CVE-2020-1380 IE脚本引擎内存损坏漏洞 7.5 高危 CVE-2020-6418 Google Chrome 远程代码执行漏洞 6.5 低危 CVE-2020-15999 Chrome Freetype中的堆缓冲区溢出漏洞 6.5 高危 CVE-2020-16013 Google V8 引擎远程代码执行 暂无 中危 CVE-2020-6819 Firefox内存泄露漏洞 8.1 高危 CVE-2020-6820 Firefox拒绝服务漏洞 8.8 高危 个人操作系统漏洞 CVE-2020-27930 macOS 内存损坏漏洞 7.8 高危 CVE-2020-27950 macOS 内存泄漏漏洞 5.5 中危 CVE-2020-27932 macOS特权代码执行漏洞 7.8 高危 CVE-2020-0938 Adobe Font Manager Library 远程代码执行漏洞 7.8 高危 CVE-2020-1020 Adobe Font Manager Library 远程代码执行漏洞 7.8 高危 CVE-2020-17087 Microsoft cng.sys 权限提升漏洞 7.8 高危 CVE-2020-0688 Microsoft Exchange远程代码执行漏洞 8.8 高危 CVE-2020-0986 Microsoft Windows splwow64 权限提升漏洞 7.8 中危 企业级网络设备漏洞 CVE-2020-8467 Apex One和OfficeScan远程代码执行漏洞 8.8 高危 CVE-2020-8468 Apex One和OfficeScan 安全验证绕过漏洞 8.8 高危 CVE-2020-12271 Sophos XG Firewall / Sophos Firewall SQL注入漏洞 9.8 高危 移动端漏洞 CVE-2020-9818 iOS和iPadOS数组越界漏洞 8.8 中危 CVE-2020-0096 Android Framework 权限提升漏洞 7.8 低危 同时，根据奇安信威胁情报中心数据观察显示，通过使用Nday漏洞组合的攻击仍为主流，攻击组织今年使用的漏洞出现时间横跨2017年到2020年。这也从侧面反映出无论漏洞新旧，都应给予足够的关注度。 奇安信威胁情报中心结合内部与外部数据，综合国内外漏洞攻击受害情况发现，南亚、东北亚、北亚、中东等国家级组织持续使用诸如Office 远程代码执行、Adobe Flash 远程代码执行等老牌漏洞。 同时美国CISA指出来自某国家的攻击组织和美国大选期间的攻击者使用了众多网络设备的远程代码执行漏洞进行攻击，如： l NetLogon特权提升漏洞（CVE-2020-1472） l Juniper Networks Junos OS 路径遍历漏洞 （CVE-2020-1631） l Citrix ADC和Citrix Gateway远程代码执行漏洞（CVE-2019-19781） l MobileIron Core＆Connector 远程代码执行漏洞（CVE-2020-15505） l Pulse Secure SSL VPN 多个版本任意文件读取漏洞 （CVE-2019-11510） l SAML身份验证机制绕过漏洞 （CVE-2020-2021） l F5 BIG-IP 远程代码执行漏洞（CVE-2020-5902） l Fortinet FortiOS 路径遍历漏洞 (CVE-2018-13379) 值得注意的是这些漏洞之间会组合使用。通过以上观察数据可以看出： 1、浏览器漏洞和个人操作系统漏洞一直为攻击组织的首要储备漏洞，通常以邮件或即时聊天工具为传播媒介利用此类漏洞，特点是可以对目标组织的相关个人进行定制化的针对性攻击。 2、由于移动互联网的发展和5G网络的建设，人们越来越多的使用移动端工作和娱乐，但大部分人缺乏对移动端设备的相关安全防护意识，导致移动端和移动APP的攻击活动逐年上升。 3、2020年由于全球疫情曝发，居家远程办公开始流行，各大厂商的VPN使用频率增加，攻击者利用VPN漏洞的攻击频率也呈上升趋势。 4、攻击者通常使用存在于网络边界设备中的漏洞对大型组织进行渗透，一旦渗透成功，可能会成为整个攻击行动中的重大突破。 奇安信威胁情报中心对这些在2020年使用Nday漏洞的APT组织情况进行汇总，同时我们也可以认为，由于存在利用这些漏洞进行成功攻击的案例，因此这些Nday漏洞在未来很长一段时间都会被持续利用。 l Exim 远程代码执行漏洞（CVE-2019-10149）：远程代码执行漏洞，方程式组织称该漏洞已经被某国家政府资助的黑客利用至今。 l Android 本地提权漏洞（CVE-2019-2215）：该漏洞为安卓系统提权漏洞，南亚响尾蛇组织被发现利用该漏洞针对安卓终端目标用户实施移动APT攻击。 l Microsoft Internet Explorer JScript远程代码执行漏洞（CVE-2020-0674）：南亚响尾蛇组织通过投放恶意文档，运用模板注入的方式，结合CVE-2017-0199漏洞下载hta脚本，而该脚本还装载有CVE-2020-0674的漏洞利用代码，基于此进行了漏洞利用攻击。 l Microsoft 脚本引擎内存破坏漏洞（CVE-2020-0968）：多米诺行动中，俄语攻击组织通过RTF文档进行攻击，打开文档会自动进行远程网页加载，而加载回来的网页则内嵌了CVE-2020-0968的漏洞利用代码，基于此触发远程代码执行。 l Microsoft Internet Explorer 多个版本远程代码执行漏洞（CVE-2019-1367）：Magnitude漏洞利用套件已经兼容该IE漏洞利用代码，目前已经被全球网络犯罪组织用于水坑攻击。 l Microsoft SMBv3远程代码执行漏洞（CVE-2020-0796）：在Windows SMBv3版本的客户端和服务端存在远程代码执行漏洞，由于该漏洞可以导致直接远程连接目标主机，因此被全球安全研究者进行分析，并且漏洞利用代码已经在地下黑市流通。 l Microsoft Exchange远程代码执行漏洞（CVE-2020-0688）：该漏洞已经被多个APT组织使用，通常攻击者会在Exchange服务器放置Websehll，并在内网进行Exchange账号凭据爆破。 l Microsoft Windows CryptoAPI欺骗漏洞（CVE-2020-0601）：该CryptoAPI椭圆曲线密码(ECC)证书检测绕过漏洞由NSA上报，在上报后被安全研究人员发现原理并进行方法公布，导致一些攻击者使用该欺骗方法进行程序数字签名绕过，从而利用其进行攻击。 l MobileIron Core＆Connector 远程代码执行漏洞（CVE 2020-15505）：MobileIron是移动设备管理（MDM）系统提供商，英国国家网络中心表示，APT组织正在使用该漏洞攻击某国家组织，美国网络安全和基础设施局（CISA）还指出，在一次APT组织入侵中还结合NetLogon特权提升漏洞（CVE-2020-1472）进行利用。 l VMware Workspace One Access 等产品命令注入漏洞（CVE-2020-4006）：美国NSA发布报告称，具备某国家背景的组织正在利用VMware®1 Access和VMware Identity Manager2产品中的漏洞，从而在原有权限的基础上提升到最高权限从而可以执行任意命令。 IoT漏洞利用情况 根据美国国家通用漏洞数据库（NVD）数据统计得知，近年CVE总量增长趋势有所放缓，从图1-5统计数据得知，物联网相关漏洞数量近年呈明显增长趋势，尤其自2017年以来，CVE允许个人申报之后，漏洞增长呈爆发趋势。 图1-5 近20年物联网相关CVE漏洞报告趋势（1999至2020年） 当前物联网设备或平台已经成为网络攻击的重要目标，根据奇安信星迹平台（用于捕获网络攻击的蜜罐系统）统计，目前平均每天收到PoC漏洞利用流量约300万次，我们抽取了2020年7月18日的全天数据进行统计分析。结果如图1-6所示，取当天漏洞利用次数的前十名，其中仅排名第2的phpMyAdmin为非物联网目标，其他均为物联网设备。 图1-6 2020年7月18日星迹平台捕获的漏洞利用行为（Top10） 在新基建背景下，5G、智慧城市、工业互联网加速落地，万物互联时代来临，物联网正在成为现代信息社会基础设施的重要组成。奇安信CERT根据奇安信技术研究院《物联网安全分析报告》从漏洞视角出发，梳理当前物联网安全态势与发展趋势。2020年度以下物联网相关漏洞利用事件值得关注： Ripple20漏洞波及数亿IoT设备 安全研究人员在Treck公司开发的底层TCP/IP协议栈中发现了多个漏洞，其中包含了多个远程代码执行漏洞，这些漏洞被命名为Ripple20。这些漏洞广泛存在于各个领域的关键物联网设备中，并涉及了众多供应商（包括 HP、Schneider Electric、 Intel、 Rockwell Automation、 Caterpillar、 Baxter等）。 思科CDP协议曝5个0day漏洞 安全研究员发现了思科CDP协议的5个0day漏洞，攻击者使用这些漏洞无需任何用户交互就可以完全接管设备。由于数千万思科设备被各大企业广泛使用，所以该系列漏洞在网络上的影响面极大。 博通芯片组件曝严重漏洞，可影响数亿网络调制解调器 安全研究员披露了一个名为Cable Haunt的安全漏洞，该漏洞会影响使用Broadcom芯片的电缆调制解调器，攻击者可通过攻击完全控制调制解调器，然后进行流量拦截或组建僵尸网络等操作。据估计，仅在欧洲就有近2亿个调制解调器易受攻击，并且后期没有办法追踪漏洞的具体扩散情况。有部分互联网服务提供商已经发布了补丁程序，但其它许多互联网提供商甚至都没有意识到这个漏洞的存在。 多款儿童智能手表曝高危漏洞 国外多家安全公司，相继曝出多家厂商生产的儿童手表存在严重的安全漏洞，据估计，4700万以上的终端设备可能受此影响。攻击者基于这些漏洞不仅能检索或者改变儿童的实时定位，还可以给他们打电话或者悄悄监视孩子的活动范围，或者从不安全的云端截获到各设备的通话音频文件。这给国内儿童智能产品市场敲响了警钟。 “蓝牙出血”：影响大量基于Linux的物联网设备 Google和英特尔公告称，Linux蓝牙协议栈BlueZ存在一个高危漏洞，大量基于Linux的物联网设备使用了该协议栈。Google将该漏洞命名为“血牙”，攻击者只需要知道受害者的蓝牙地址就可以通过发送恶意的数据包，实施拒绝服务攻击或任意代码执行。该漏洞 (CVE-2020-12351)的CVSS评分为8.3，属于较为严重的漏洞。 高通和联发科Wi-Fi芯片曝高危漏洞 2020年2月，ESET的安全专家公布了漏洞编号为CVE-2019-15126的Wi-Fi高危漏洞，并将其命名为Kr00k，该漏洞影响了博通和赛普拉斯制造的Wi-Fi芯片，可关联至全球数十亿台设备。利用该漏洞攻击者可拦截并解密用户的无线网络数据包，甚至入侵用户的设备。2020年8月安全研究人员发现，高通和联发科的Wi-Fi芯片亦受此漏洞变体的影响，据悉目前相关厂商均已发布相关安全补丁。 Amnesia:33漏洞影响数百万智能和工控设备 2020年12月，有安全研究人员披露了4个开源TCP/IP库中的33个安全漏洞，超过150个厂商使用了这些开源库。Forescount的研究人员评估有数百万台消费级和工业级设备受他们发现的安全漏洞的影响，他们将该漏洞命名为Amnesia:33。据悉，研究人员受到Ripple20等漏洞的启发，通过一系列分析测试发现了这些漏洞，受影响的设备包括智能手机、游戏机、打印机、路由器、摄像头及各种工业设备等，攻击者利用这些漏洞可以实现远程代码执行或拒绝服务等操作。同Ripple20漏洞类似，这些漏洞检测困难，受供应链影响，很多智能设备的漏洞并不能得到及时修复。 由以上事例，我们不难推测出：物联网基础设施仍相对脆弱，如物联网相关的基础协议等。Ripple20和Amnesia:33的TCP协议栈漏洞及思科CDP协议漏洞等均属此类问题；借助于供应链传播，单个漏洞的影响面不输于传统PC，而且攻击路径更加简单。如博通、高通、联发科的芯片级漏洞可影响数亿级的日常及工业设备。 根据美国国家通用漏洞数据库（NVD）以及国家信息安全漏洞共享平台（CNVD）近两年漏洞数据显示，2019年业界共提交了CVE漏洞17304个、CVND漏洞16208个，2020年度新增CVE漏洞13922个、CNVD漏洞20136个，漏洞数量不断突破新的记录。 面对井喷式的漏洞情报增长，奇安信成立监测与响应中心（奇安信CERT）对漏洞情报进行监测与响应。从第一篇风险通告发布至今，奇安信CERT已经持续为企业提供高质量漏洞情报达5年之久。通过5年的探索，奇安信CERT已经建立起了有效的漏洞响应机制，并将其流程化、系统化。 漏洞持续监测 漏洞持续监测有别于漏洞监测，是对每一条漏洞不间断的监测，持续更新相关信息，逐渐拨开漏洞迷雾的过程。奇安信CERT每天监控的漏洞相关情报数量最高可达30000条，其中涵盖了众多企业级软件官网、开源软件GitHub、安全类订阅邮件、技术社区、安全类媒体、社交账号等。如图2-1所示（其中不包含专业第三方平台收录的信息）： 漏洞监测来源 图2-1 漏洞监测来源 这样的数量级已经不是人工可以筛选研判的了，因此奇安信CERT开发了NOX安全监测系统，对漏洞信息流进行加工处理，通过大数据匹配和人工智能，识别有效的漏洞信息并对漏洞进行初步分级。达到一定条件的漏洞信息生成漏洞工单进行处理。 不仅如此，NOX还会对漏洞进行长达数月的持续监控，跟踪其信息变更、补丁更新、PoC和EXP状态等。如在今年热度持续居高不下的CVE-2020-1472、CVE-2020-0796漏洞，都经历了数次更新，每一次更新都可能代表漏洞的现实威胁变更。 漏洞评价 奇安信CERT的漏洞评价标准主要参考CVSS但是增加了漏洞实际利用层面的评价。主要有以下几个维度：漏洞触发前置条件：用户交互；漏洞触发前置条件：用户认证；漏洞触发前置条件：其他条件；漏洞成功利用条件：攻击者控制能力之外的要求；漏洞触发方式；漏洞直接后果。因此，奇安信CERT研判后的漏洞评价等级并不一定和CVSS漏洞评分成正比。如图2-2所示： 图2-2 漏洞评价表 举例说明，Apache Structs 2 远程代码执行漏洞(S2-061)漏洞虽然CVSS评分为9.8，但是我们的评级为中危，漏洞触发以及成功利用条件较为苛刻，漏洞触发点与S2-059历史漏洞的触发点相同。漏洞本质是对S2-059的沙箱绕过。触发漏洞首先需要开启 altSyntax功能，且需要特定标签id属性(其他属性有待寻找)中存在表达式 %{x} 且 x 为用户可控并未经过安全校验。 Jackson-databind < 2.9.10.8 反序列化远程代码执行漏洞（CVE-2020-35490）的CVSS评分为8.1，我们给出了中危的评价。此漏洞只影响Jackson-databind 2.x< 2.9.10.8，没有使用enableDefaultTyping()的低版本项目不受影响，即非默认配置，影响面有限。鉴于此前多次爆发远程代码执行漏洞，黑名单策略无法根治，官方后期推出的高版本（2.10及以上）均采用白名单策略，使用高版本用户不受此类漏洞影响。 漏洞处置 奇安信CERT尽可能的将漏洞的处置和研判过程自动化流程化，提升漏洞处置效率。目前奇安信CERT的漏洞大体处置流程如图2-3所示： 图2-3 漏洞处置流程 通过奇安信CERT的实践，此流程已经可以做到企业级软件高危漏洞全覆盖。 漏洞情报输出 奇安信CERT并不是漏洞情报的搬运工，当监控到漏洞情报后，经过我们的处置会依据漏洞评价、影响面、实际影响以及攻击复杂度等多种维度输出漏洞情报。持续为奇安信相关安全产品赋能并且在2020年下半年对外推出了NOX安全监测平台，该平台可为企业级用户提供更多漏洞相关情报。奇安信CERT可输出的漏洞情报如图2-4所示。 图2-4 漏洞情报 值得一提的是，风险通告仅作为奇安信CERT输出众多漏洞情报的一种，本着客户优先的原则，风险通告更偏向于输出具有实际缓解措施的漏洞情报。所以很多未经验证和没有防护措施的漏洞我们不会急于发布风险通告。 除了漏洞监测和响应工作，作为安全研究团队，奇安信CERT在漏洞挖掘和漏洞研究方面也有诸多贡献。我们将从漏洞挖掘、漏洞分析、深入研究三个方面阐述奇安信CERT 2020年度研究成果。 漏洞挖掘 WebLogic WebLogic是美国Oracle公司出品的基于JavaEE架构的中间件，用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是世界上第一个成功商业化的J2EE应用服务器, 已推出到12c(12.2.1.4) 版。 近几年WebLogic被频繁曝出高危漏洞，其中反序列化漏洞最为严重。总的来说，WebLogic反序列化漏洞大致分为四类： 1、 第一类是WebLogic的T3协议反序列化漏洞 2020年4月份的CVE-2020-2798和CVE-2020-2963。该漏洞存在于weblogic.jar中的weblogic.wsee.async.SOAPInvokeState和weblogic.wsee.connection.transport.http-s.WlsSSLAdapter，其中readObject方法调用了readEncryptedField方法，在readEncryptedField内部使用了EncryptionUtil解密加密后的序列化数据，攻击者可以通过T3协议发送精心构造的序列化对象，即可成功绕过黑名单限制，实现远程代码执行。后续T3协议又陆续出现多个反序列化漏洞，包括：CVE-2020-14645、CVE-2020-2883、CVE-2020-2884、CVE-2020-14644、CVE-2020-2801、CVE-2020-2555漏洞等。 2、 第二类是WebLogic的IIOP协议反序列化漏洞 2020年1月公布的CVE-2020-2551漏洞，该漏洞原理上类似基于T3协议的反序列化漏洞，不同的是CVE-2020-2551是WebLogic基于 IIOP协议层面的漏洞，所以可以绕过T3协议的黑名单，WebLogic官方也是采用黑名单方案进行修补，但依旧存在被绕过的可能性，后续IIOP协议也出现了多个IIOP协议的反序列化漏洞，包括CVE-2020-14841。 3、 第三类是通过WebLogic的HTTP协议触发的漏洞 2020年10月份公布的CVE-2020-14882和CVE-2020-14883，该漏洞是由于WebLogic的访问控制策略是基于URI实现的，因为存在路径归一化的问题，导致访问控制绕过，又搭配了另外一个漏洞实现基于HTTP协议的远程代码执行。由于官方对此漏洞的修补过于疏忽，后续又出现了CVE-2020-14750漏洞。 4、 第四类是WebLogic在某些功能的实现时没有足够考虑安全相关问题导致的漏洞 如2020年四月公布的CVE-2020-2829漏洞，攻击者可以在未授权的状态下对外发起任意请求，构成SSRF攻击。在特定情况下，能够在部署WebLogic的操作系统上执行任意代码。后续也陆续出现了多个此类漏洞，包括：CVE-2020-14636、CVE-2020-14637、CVE-2020-14638、CVE-2020-