2018年网络安全大事记

二、漏洞事件篇

• 国家信息安全漏洞库(CNNVD)：CNNVD公布的漏洞数量为14,866个，2017年全年的漏洞总数为12,433个，年增长率约为19.6%。
• 美国国家漏洞库(NVD)：NVD公布的漏洞数量为18,041个，2017年全年的漏洞总数为18,114个，年增长率约为0.4%。
• 公共漏洞披露平台(CVE)：CVEdetails公布的漏洞数量为16,492个，2017年全年的漏洞总数为14,714个，年增长率约为12.08%。

(注：以上2018年的漏洞数量均为截止到12月29日的统计数字)

1. 2018影响较大和较为特殊的漏洞事件

1月：

• 谷歌“Project Zero”团队和多国研究人员共同发布的漏洞披露报告称，英特尔的x86 64位处理器有一个“根本性的设计缺陷”，设计瑕疵存在已久，近10年来搭载英特尔处理器的Windows、Mac 与Linux 电脑均可能受到影响。
• 西部数据旗下MyCloud系列网络存储设备多个漏洞细节被曝，包括固件中的管理员权限的后门账号。研究人员早在2017年6月就将其发现提交给了西数公司，在一直没有得到修复的情况下，公开漏洞细节。

3月：

• 以色列硬件安全公司CTS Labs发布白皮书，指出AMD Zen CPU架构存在四类多达12个以上的安全漏洞。这些漏洞有可能让攻击者绕过防止篡改计算机操作系统的安全防范措施，并且植入无法检测或删除的恶意软件。值得注意的是，CTS Labs只给了AMD 24小时的时间，就公布了漏洞细节。

4月：

• 美国食品与药物管理局在全球范围内督促，使用了 Abbot Laboratories 心脏植入设备的患者，尽快前往附近的医疗中心进行固件升级。一个固件漏洞允许攻击者向患者的设备发送远程指令，造成潜在的电量加速流失隐患。
• 思科IOS/IOS XE 中的智能安装客户端(Smart Install Client)代码中被发现堆栈缓冲区溢出漏洞(CVE-2018-0171)，通过此漏洞无需身份验证即可远程执行任意代码，实现对该设备的完全控制。

5月：

• 阿姆斯特丹自由大学研究人员发现同时改变RAM内存中的3个比特，就不会触发阻止Rowhammer式攻击的ECC校正机制。于是攻击者可进行篡改数据，注入恶意代码和命令，更改访问权限等操作，以窃取密码、密钥和其他秘密信息。
• 360通告，发现区块链平台EOS的一系列高危安全漏洞，可通过远程攻击，直接控制和接管EOS上运行的所有节点。

7月：

• 加州大学研究人员发现，用前视红外(FLIR)热成像摄像头扫描计算机键盘，在口令首字符被敲下的30秒之内便可以恢复出用户敲击的口令。
• 来自以色列理工学院的研究人员发现一个高危蓝牙漏洞(CVE-2018-5383)，可进行拦截、监控或篡改设备的网络数据。漏洞影响苹果、博通、英特尔、高通等多家硬件供应商的相关产品。
• 物联网安全公司Armis发布的研究报告显示，包括网络电话、打印机、交换机、路由器等近5亿台企业设备，面临DNS重绑定的攻击风险。

8月：

• 安全研究人员发现了影响英特尔处理器的“Foreshadow”漏洞，攻击者能够绕过英特尔内置的芯片安全特性，获得存储在“安全封锁区域”的敏感数据。
• 研究人员发现某医疗科技公司的心脏起搏器与胰岛素泵存在安全漏洞。利用漏洞可以控制发送到心脏的电脉冲，可能导致患者受伤甚至死亡。

9月：

• 趋势科技发布的调查报告显示，数据采集与监控系统(SCADA)系统2018年上半年的漏洞几近于2017年上半年的两倍。

10月：

• 安全研究机构Ponemon发布的《2018年端点安全风险状态报告》显示，针对端点的攻击手段，无文件攻击将占到35%，主要包括利用的宏、脚本引擎、内存、命令执行等系统内置功能。
• 加州大学研究人员公布了3个边信道漏洞利用，这些漏洞利用可从GPU抽取敏感数据，而且相比CPU边信道攻击，操作更为简单。个人用户和高性能计算系统均面临潜在风险。

11月：

• 物联网安全公司Armis发现德州仪器制造的低功耗蓝牙(BLE)芯片存在漏洞，全球数百万思科和惠普生产的联网接入设备面临远程攻击风险。
• 俄罗斯安全研究人员公开披露了Oracle虚拟机中的一个零日漏洞(VirtualBox E1000 Guest-to-Host Escape)。攻击者可以利用该漏洞逃逸出客户计算机虚拟环境。
• 芬兰两所大学的研究人员发现名为“PortSmash”(CVE-2018-5407)的漏洞。攻击者可以从计算机的内存或处理器中提取敏感数据，如加密密钥。该漏洞影响所有依赖同步多线程(SMT)架构的CPU，包括Intel的超线程(HT)架构。
• 手机App安全公司Privacy4Cars披露了名为CarsBlues的汽车蓝牙漏洞。黑客可通过蓝牙获得车主手机信息并进入车载娱乐系统获得权限，推测全球数千万辆汽车可能受到影响。
• 荷兰拉德堡德大学研究人员发现，固态硬盘流行加密软件Bitlocker存在重大漏洞。通过调试端口对其重编程，就可以重设任意口令，解密数据。
• 国内首个专注于重大漏洞的黑客破解比赛，“天府杯”PWN举行。参赛选手成功利用30个漏洞，攻破了Microsoft Edge/Chrome/Safari/macOS/VMware/Oracle VB/Adobe Reader/Microsoft Office等主流操作系统、浏览器和应用软件，以及包括iPhone X和3款国内流行智能手机，奖金总额达102.4万美元。
• 软件风险评估与管理公司Checkmarx的研究人员发现，可通过手机应用嗅探设备间通信，控制智能灯泡的灯光颜色来渗漏数据。

12月：

• 安全公司 Check Point 使用流行的Windows模糊测试框架进行漏洞测试，仅50天的时间里，就在 Adobe Reader 中找出53个CVE漏洞。
• 美国国防部监察长报告称，美国弹道导弹防御系统(BMDS)的网络安全操作存在“系统性漏洞”，网络安全操作存在严重缺陷。包括不锁服务器机架、缺乏加密、没有持续身份验证、打补丁、数据监控保护等……

（编辑：东莞站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!