從 2014 年漏洞,學到什麼?

隨著新年慶祝活動安全地過去,是時候向前看,並開始規劃2015了。但在這樣做之前,讓我們花上幾分鐘記住2014年的漏洞,及我們可以從中學到什麼。

每年都會出現幾個零時差漏洞和大量來自軟體廠商的漏洞修復程式。今年有些不同:

 

  • 每年所披露的安全性漏洞總數近1萬個。正因為如此,CVE資料庫的維護者宣佈將修改CVE語法,它現在允許每年可分配的漏洞識別碼達到1000萬個。
  • 重大的「命名」漏洞像是Heartbleed心淌血漏洞ShellshockPoodle和WinShock被披露,並在安全產業內廣為人知。這些漏洞因為其嚴重的影響、廣泛的攻擊面及修補的困難而值得注意。
  • 放大分散式阻斷服務(DDoS)攻擊增加。這些攻擊被用來產生大規模網路流量以阻斷服務。它利用網路通訊協定的漏洞來「引出」大量回應封包,將其「重新導向」到受害者,導致對其的阻斷服務攻擊。
  • 一些好消息 — 2014年沒有JAVA零時差漏洞!然而,這並不代表JAVA漏洞不會遭受攻擊。它們還是會被漏洞攻擊包加以利用。所以仍在使用舊版本JAVA的使用者應該要加以升級。
  • 對於Adobe產品來說就比較複雜。整體來說,Adobe產品的安全性漏洞數量從2013年開始下降。然而,Adobe Flash的安全性漏洞數量從56個上升到76個。Acrobat/Reader漏洞下跌了幾乎30%。

 

圖1、Flash Player和Acrobat/Reader的安全性漏洞數量

 

  • 有許多OpenSSL的漏洞被發現,不只是Heartbleed。在 2014 年,有24個 漏洞被發現 — 是之前三年的總和。

 

了解上述事實後,我們該從中學到什麼?

  • 即使是舊應用程式仍然可以被發現漏洞,正如我們所看到的Heartbleed和Shellshock。
  • 開放原始碼軟體據說在本質上較安全,因為它會被多人檢視(也因此有更多機會發現安全性漏洞)。然而從OpenSSL和Bash的例子可以得知並不一定如此。
  • CVSS分數並不能完全的表現出安全性漏洞的嚴重性。畢竟Heartbleed只拿到了CVSS 5.0的分數!根據你組織的情況和應用程式來評估漏洞的影響。用來加權(CVSS)分數!
  • 盡快地升級版本。只要情況允許就盡快更新修補程式。
  • 不斷檢視你的安全狀態和相應地規劃你在資訊安全工具和做法上的投資。員工教育是確保公司資訊安全的關鍵一環。同時,也確保你充分地利用了安全解決方案 — 例如進行正確的設定,根據需求來加以調整等。
  • 實施最低權限存取政策。今日有許多漏洞攻擊都可以取得登入使用者的權限;最低權限存取政策將有助於減輕這些攻擊所造成的損害。

 

2014 年還有一些其他並非出乎預料的事件,但仍相當值得注意。

  • 有八個IE瀏覽器的零時差漏洞,而Adobe Acrobat/Reader則有四個。你可以考慮使用一些替代性的瀏覽器和PDF閱讀器。
  • 對網頁伺服器來說,Apache Struts和WordPress(及WordPress外掛程式)都被發現零時差漏洞。可以清楚地知道,除了伺服器軟體外,額外的外掛程式也是可能的風險來源。
  • 趨勢科技在2014年發現並回報了19個嚴重漏洞給相關廠商(參考下方完整列表)

 

無論我們看到了多少個零時差或Heartbleed/Shellshock類型漏洞,我們也不要忘記像SQL注入、跨網站腳本(XSS),打破身份認證等網頁應用程式中的基本安全性漏洞仍然非常普遍。很多時候,它們正是發生大規模資料外洩事件背後的原因。

 

此外,我們永遠不該忘記控制資料存取、盡可能地加密、確保正確的安全產品都到位來迅速防護漏洞等最佳實作。

 

我們在2014年所發現並回報給相關廠商的19個嚴重漏洞(及影響軟體)。

 

 

@原文出處:Remembering the Vulnerabilities of 2014作者:Pawan Kinger(Deep Security實驗室總監)