東莞網(wǎng)絡(luò)安全公司回顧2018年網(wǎng)絡(luò)安全漏洞事件

2018年已過去，我們迎來了2019年。在互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)安全一直是我們關(guān)注的問題。回顧過去的2018年，網(wǎng)絡(luò)安全事件層出不窮，網(wǎng)絡(luò)攻擊不斷升級(jí)。而網(wǎng)絡(luò)漏洞的廣泛存在為網(wǎng)絡(luò)攻擊提供了機(jī)會(huì)，藍(lán)訊作為東莞的一家提供網(wǎng)絡(luò)安全解決方案的公司，一直關(guān)注著網(wǎng)絡(luò)安全的大事件，這里我們整理編輯了2018年網(wǎng)絡(luò)安全漏洞事件。
 
國家信息安全漏洞庫(CNNVD)公布的漏洞數(shù)為14866，2017年全年為12433，年增長率約為19.6%。
美國國家漏洞庫(NVD)公布的漏洞數(shù)量為18041個(gè)，而2017年全年為18114個(gè)，年增長率約為0.4%。
公共漏洞披露平臺(tái)(CVE):CVEdetails公布的2018年漏洞數(shù)為16492，2017年全年為14714，年增長率約為12.08%。
以上數(shù)據(jù)統(tǒng)計(jì)時(shí)間截止到2018年12月29日。

2018年影響力和比較特殊的漏洞事件
1月：
谷歌“Project Zero”團(tuán)隊(duì)和來自多個(gè)國家的研究人員發(fā)布的一份漏洞披露報(bào)告稱，英特爾的x86 64位處理器存在一個(gè)“根本性的設(shè)計(jì)缺陷”，這個(gè)缺陷已經(jīng)存在了很長時(shí)間了，近10年來搭載Intel處理器的Windows、Mac、Linux電腦都有可能受到影響。
西部數(shù)據(jù)MyCloud系列網(wǎng)絡(luò)存儲(chǔ)設(shè)備多個(gè)漏洞細(xì)節(jié)被披露，研究員在2017年6月就發(fā)現(xiàn)了，并已經(jīng)提交給西部數(shù)據(jù)。一直沒有得到修復(fù)，漏洞細(xì)節(jié)被公開。
3月：
以色列硬件安全公司CTS實(shí)驗(yàn)室(CTS Labs)發(fā)布了一份白皮書，指出AMD Zen CPU架構(gòu)中存在四種類型的安全漏洞，超過12個(gè)。這些漏洞可使攻擊者繞過防止篡改計(jì)算機(jī)操作系統(tǒng)的安全防范措施，并植入無法檢測或刪除的惡意軟件。CTS實(shí)驗(yàn)室只給AMD 24小時(shí)時(shí)間，公布了漏洞。
4月：
美國食品與藥品管理局敦促使用Abbot Laboratories心臟植入裝置的患者，盡快前往附近的醫(yī)療中心進(jìn)行固件升級(jí)。其中有一個(gè)固件漏洞允許攻擊者向患者的設(shè)備發(fā)送遠(yuǎn)程指令，從而造成潛在的電量加速。
5月：
阿姆斯特丹自由大學(xué)研究人員發(fā)現(xiàn)同時(shí)改變RAM內(nèi)存中的3個(gè)比特，就不會(huì)觸發(fā)阻止Rowhammer式攻擊的ECC校正機(jī)制。因此攻擊者可以篡改數(shù)據(jù)、注入惡意代碼和命令、更改訪問權(quán)限，以竊取密碼、密鑰和其他機(jī)密信息。
360通告發(fā)現(xiàn)區(qū)塊鏈平臺(tái)EOS中存在一系列高風(fēng)險(xiǎn)的安全漏洞，可以通過遠(yuǎn)程攻擊直接控制和接管EOS上的所有節(jié)點(diǎn)。
7月：
加州大學(xué)的研究人員發(fā)現(xiàn)，用前瞻紅外(FLIR)熱成像攝像頭掃描電腦鍵盤，在口令首字符被敲下的30秒內(nèi)就可以恢復(fù)出用戶敲擊的口令。
以色列理工學(xué)院的研究員一個(gè)高危藍(lán)牙漏洞（CVE-2018-5383）,可以進(jìn)行攔截、監(jiān)控或者篡改設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)。這個(gè)漏洞會(huì)影響到多家硬件供應(yīng)商的相關(guān)產(chǎn)品，如蘋果、博通、英特爾、高通等。
據(jù)物聯(lián)網(wǎng)安全公司Armis發(fā)布的一份研究報(bào)告顯示，包括網(wǎng)絡(luò)電話、打印機(jī)、交換機(jī)和路由器在內(nèi)的近5億臺(tái)企業(yè)設(shè)備正面臨DNS重新綁定的風(fēng)險(xiǎn)。
8月：
安全研究人員發(fā)現(xiàn)了一個(gè)影響英特爾處理器的“Foreshadow”漏洞，使得攻擊者能夠繞過Intel內(nèi)置的芯片安全特性，訪問存儲(chǔ)在“安全封鎖”中的敏感數(shù)據(jù)。
研究人員發(fā)現(xiàn)一家醫(yī)療技術(shù)公司的心臟起搏器與胰島素泵存在安全漏洞，可以被利用來控制傳送到心臟的電脈沖，這可能導(dǎo)致受傷甚至死亡。
9月：
趨勢技術(shù)發(fā)布的一項(xiàng)調(diào)查顯示，2018年上半年，數(shù)據(jù)采集和監(jiān)控系統(tǒng)SCADA系統(tǒng)的漏洞幾乎是2017年上半年的兩倍。
10月：
安全研究機(jī)構(gòu)Ponemon發(fā)布的《2018年終結(jié)點(diǎn)安全風(fēng)險(xiǎn)狀態(tài)報(bào)告》顯示，無文件攻擊將占針對(duì)端點(diǎn)的攻擊的35%，主要包括使用宏、腳本引擎、內(nèi)存、命令執(zhí)行等系統(tǒng)內(nèi)置功能。
加州大學(xué)的研究人員發(fā)現(xiàn)并公布了3個(gè)邊信道漏洞利用，這些漏洞利用可以從GPU抽取敏感數(shù)據(jù)，而且操作相比CPU邊信道攻擊更為簡單。個(gè)人用戶和高性能計(jì)算機(jī)系統(tǒng)都面臨潛在風(fēng)險(xiǎn)。
11月：
物聯(lián)網(wǎng)安全公司Armis已經(jīng)發(fā)現(xiàn)了德州儀器公司生產(chǎn)的低功耗藍(lán)牙芯片的漏洞，思科和惠普在全球生產(chǎn)的數(shù)百萬網(wǎng)絡(luò)接入設(shè)備都面臨著遠(yuǎn)程攻擊的風(fēng)險(xiǎn)。
俄羅斯安全研究人員公開披露了一個(gè)零日漏洞VirtualBox E 1000 Guest-to-Host Escape，這個(gè)漏洞存在于Oracle虛擬機(jī)中，攻擊者可以用這個(gè)漏洞逃出用戶計(jì)算機(jī)虛擬環(huán)境。
手機(jī)APP安全公司Privacy4Cars曝光了一個(gè)名為CarsBlues的汽車藍(lán)牙漏洞。黑客可以通過藍(lán)牙獲得車主手機(jī)信息并進(jìn)入車載娛樂系統(tǒng)，獲得權(quán)限，預(yù)測全球數(shù)千萬汽車可能會(huì)受到影響。
荷蘭拉德堡大學(xué)(UniversityofLadburg)的研究人員發(fā)現(xiàn)，比特儲(chǔ)物柜是一種流行的固態(tài)硬盤加密軟件。通過調(diào)試端口重編程，您可以重置任何密碼，解密數(shù)據(jù)。
12月：
Check Point是一家安全公司，它使用流行的Windows模糊測試框架進(jìn)行漏洞測試。僅在50天內(nèi)，就在AdobeReader就發(fā)現(xiàn)了53個(gè)CVE漏洞。
2018年漏洞相關(guān)事件的特點(diǎn)：
漏洞數(shù)量在2018年有所減緩。造成這種情況的主要原因可能是，對(duì)漏洞報(bào)告比以往任何時(shí)候都更加分散，而且許多漏洞沒有官方記錄。此外,與每個(gè)國家的對(duì)漏洞披露政策的保守化有關(guān)，漏洞已成為重要的競爭資源。
諸如底層硬件漏洞、邊信道和無文件等攻擊越來越受到關(guān)注。針對(duì)芯片、內(nèi)存、硬盤和協(xié)議級(jí)別的攻擊層出不窮。同時(shí)，借用系統(tǒng)內(nèi)置功能的無文件攻擊也越來越流行。
攝像頭、路由器、汽車、揚(yáng)聲器、無人機(jī)等智能聯(lián)網(wǎng)設(shè)備以及工業(yè)聯(lián)網(wǎng)系統(tǒng)的漏洞顯著增加。其主要原因是智能設(shè)備的爆發(fā)和全球智能制造的浪潮，制造商對(duì)安全的普遍忽視，以及嵌入式更新的困難。