2018年已過去,我們迎來了2019年。在互聯(lián)網時代,
網絡安全一直是我們關注的問題。回顧過去的2018年,網絡安全事件層出不窮,網絡攻擊不斷升級。而網絡漏洞的廣泛存在為網絡攻擊提供了機會,藍訊作為東莞的一家提供
網絡安全解決方案的公司,一直關注著網絡安全的大事件,這里我們整理編輯了2018年網絡安全漏洞事件。
國家信息安全漏洞庫(CNNVD)公布的漏洞數(shù)為14866,2017年全年為12433,年增長率約為19.6%。
美國國家漏洞庫(NVD)公布的漏洞數(shù)量為18041個,而2017年全年為18114個,年增長率約為0.4%。
公共漏洞披露平臺(CVE):CVEdetails公布的2018年漏洞數(shù)為16492,2017年全年為14714,年增長率約為12.08%。
以上數(shù)據(jù)統(tǒng)計時間截止到2018年12月29日。
2018年影響力和比較特殊的漏洞事件
1月:
谷歌“Project Zero”團隊和來自多個國家的研究人員發(fā)布的一份漏洞披露報告稱,英特爾的x86 64位處理器存在一個“根本性的設計缺陷”,這個缺陷已經存在了很長時間了,近10年來搭載Intel處理器的Windows、Mac、Linux電腦都有可能受到影響。
西部數(shù)據(jù)MyCloud系列網絡存儲設備多個漏洞細節(jié)被披露,研究員在2017年6月就發(fā)現(xiàn)了,并已經提交給西部數(shù)據(jù)。一直沒有得到修復,漏洞細節(jié)被公開。
3月:
以色列硬件安全公司CTS實驗室(CTS Labs)發(fā)布了一份白皮書,指出AMD Zen CPU架構中存在四種類型的安全漏洞,超過12個。這些漏洞可使攻擊者繞過防止篡改計算機操作系統(tǒng)的安全防范措施,并植入無法檢測或刪除的惡意軟件。CTS實驗室只給AMD 24小時時間,公布了漏洞。
4月:
美國食品與藥品管理局敦促使用Abbot Laboratories心臟植入裝置的患者,盡快前往附近的醫(yī)療中心進行固件升級。其中有一個固件漏洞允許攻擊者向患者的設備發(fā)送遠程指令,從而造成潛在的電量加速。
5月:
阿姆斯特丹自由大學研究人員發(fā)現(xiàn)同時改變RAM內存中的3個比特,就不會觸發(fā)阻止Rowhammer式攻擊的ECC校正機制。因此攻擊者可以篡改數(shù)據(jù)、注入惡意代碼和命令、更改訪問權限,以竊取密碼、密鑰和其他機密信息。
360通告發(fā)現(xiàn)區(qū)塊鏈平臺EOS中存在一系列高風險的安全漏洞,可以通過遠程攻擊直接控制和接管EOS上的所有節(jié)點。
7月:
加州大學的研究人員發(fā)現(xiàn),用前瞻紅外(FLIR)熱成像攝像頭掃描電腦鍵盤,在口令首字符被敲下的30秒內就可以恢復出用戶敲擊的口令。
以色列理工學院的研究員一個高危藍牙漏洞(CVE-2018-5383),可以進行攔截、監(jiān)控或者篡改設備的網絡數(shù)據(jù)。這個漏洞會影響到多家硬件供應商的相關產品,如蘋果、博通、英特爾、高通等。
據(jù)物聯(lián)網安全公司Armis發(fā)布的一份研究報告顯示,包括網絡電話、打印機、交換機和路由器在內的近5億臺企業(yè)設備正面臨DNS重新綁定的風險。
8月:
安全研究人員發(fā)現(xiàn)了一個影響英特爾處理器的“Foreshadow”漏洞,使得攻擊者能夠繞過Intel內置的芯片安全特性,訪問存儲在“安全封鎖”中的敏感數(shù)據(jù)。
研究人員發(fā)現(xiàn)一家醫(yī)療技術公司的心臟起搏器與胰島素泵存在安全漏洞,可以被利用來控制傳送到心臟的電脈沖,這可能導致受傷甚至死亡。
9月:
趨勢技術發(fā)布的一項調查顯示,2018年上半年,數(shù)據(jù)采集和監(jiān)控系統(tǒng)SCADA系統(tǒng)的漏洞幾乎是2017年上半年的兩倍。
10月:
安全研究機構Ponemon發(fā)布的《2018年終結點安全風險狀態(tài)報告》顯示,無文件攻擊將占針對端點的攻擊的35%,主要包括使用宏、腳本引擎、內存、命令執(zhí)行等系統(tǒng)內置功能。
加州大學的研究人員發(fā)現(xiàn)并公布了3個邊信道漏洞利用,這些漏洞利用可以從GPU抽取敏感數(shù)據(jù),而且操作相比CPU邊信道攻擊更為簡單。個人用戶和高性能計算機系統(tǒng)都面臨潛在風險。
11月:
物聯(lián)網安全公司Armis已經發(fā)現(xiàn)了德州儀器公司生產的低功耗藍牙芯片的漏洞,思科和惠普在全球生產的數(shù)百萬網絡接入設備都面臨著遠程攻擊的風險。
俄羅斯安全研究人員公開披露了一個零日漏洞VirtualBox E 1000 Guest-to-Host Escape,這個漏洞存在于Oracle虛擬機中,攻擊者可以用這個漏洞逃出用戶計算機虛擬環(huán)境。
手機APP安全公司Privacy4Cars曝光了一個名為CarsBlues的汽車藍牙漏洞。黑客可以通過藍牙獲得車主手機信息并進入車載娛樂系統(tǒng),獲得權限,預測全球數(shù)千萬汽車可能會受到影響。
荷蘭拉德堡大學(UniversityofLadburg)的研究人員發(fā)現(xiàn),比特儲物柜是一種流行的固態(tài)硬盤加密軟件。通過調試端口重編程,您可以重置任何密碼,解密數(shù)據(jù)。
12月:
Check Point是一家安全公司,它使用流行的Windows模糊測試框架進行漏洞測試。僅在50天內,就在AdobeReader就發(fā)現(xiàn)了53個CVE漏洞。
2018年漏洞相關事件的特點:
漏洞數(shù)量在2018年有所減緩。造成這種情況的主要原因可能是,對漏洞報告比以往任何時候都更加分散,而且許多漏洞沒有官方記錄。此外,與每個國家的對漏洞披露政策的保守化有關,漏洞已成為重要的競爭資源。
諸如底層硬件漏洞、邊信道和無文件等攻擊越來越受到關注。針對芯片、內存、硬盤和協(xié)議級別的攻擊層出不窮。同時,借用系統(tǒng)內置功能的無文件攻擊也越來越流行。
攝像頭、路由器、汽車、揚聲器、無人機等智能聯(lián)網設備以及工業(yè)聯(lián)網系統(tǒng)的漏洞顯著增加。其主要原因是智能設備的爆發(fā)和全球智能制造的浪潮,制造商對安全的普遍忽視,以及嵌入式更新的困難。
13580762200/13725734438/18028990096
