2018年已过去,我们迎来了2019年。在互联网时代,
网络安全一直是我们关注的问题。回顾过去的2018年,网络安全事件层出不穷,网络攻击不断升级。而网络漏洞的广泛存在为网络攻击提供了机会,蓝讯作为东莞的一家提供
网络安全解决方案的公司,一直关注着网络安全的大事件,这里我们整理编辑了2018年网络安全漏洞事件。
国家信息安全漏洞库(CNNVD)公布的漏洞数为14866,2017年全年为12433,年增长率约为19.6%。
美国国家漏洞库(NVD)公布的漏洞数量为18041个,而2017年全年为18114个,年增长率约为0.4%。
公共漏洞披露平台(CVE):CVEdetails公布的2018年漏洞数为16492,2017年全年为14714,年增长率约为12.08%。
以上数据统计时间截止到2018年12月29日。
2018年影响力和比较特殊的漏洞事件
1月:
谷歌“Project Zero”团队和来自多个国家的研究人员发布的一份漏洞披露报告称,英特尔的x86 64位处理器存在一个“根本性的设计缺陷”,这个缺陷已经存在了很长时间了,近10年来搭载Intel处理器的Windows、Mac、Linux电脑都有可能受到影响。
西部数据MyCloud系列网络存储设备多个漏洞细节被披露,研究员在2017年6月就发现了,并已经提交给西部数据。一直没有得到修复,漏洞细节被公开。
3月:
以色列硬件安全公司CTS实验室(CTS Labs)发布了一份白皮书,指出AMD Zen CPU架构中存在四种类型的安全漏洞,超过12个。这些漏洞可使攻击者绕过防止篡改计算机操作系统的安全防范措施,并植入无法检测或删除的恶意软件。CTS实验室只给AMD 24小时时间,公布了漏洞。
4月:
美国食品与药品管理局敦促使用Abbot Laboratories心脏植入装置的患者,尽快前往附近的医疗中心进行固件升级。其中有一个固件漏洞允许攻击者向患者的设备发送远程指令,从而造成潜在的电量加速。
5月:
阿姆斯特丹自由大学研究人员发现同时改变RAM内存中的3个比特,就不会触发阻止Rowhammer式攻击的ECC校正机制。因此攻击者可以篡改数据、注入恶意代码和命令、更改访问权限,以窃取密码、密钥和其他机密信息。
360通告发现区块链平台EOS中存在一系列高风险的安全漏洞,可以通过远程攻击直接控制和接管EOS上的所有节点。
7月:
加州大学的研究人员发现,用前瞻红外(FLIR)热成像摄像头扫描电脑键盘,在口令首字符被敲下的30秒内就可以恢复出用户敲击的口令。
以色列理工学院的研究员一个高危蓝牙漏洞(CVE-2018-5383),可以进行拦截、监控或者篡改设备的网络数据。这个漏洞会影响到多家硬件供应商的相关产品,如苹果、博通、英特尔、高通等。
据物联网安全公司Armis发布的一份研究报告显示,包括网络电话、打印机、交换机和路由器在内的近5亿台企业设备正面临DNS重新绑定的风险。
8月:
安全研究人员发现了一个影响英特尔处理器的“Foreshadow”漏洞,使得攻击者能够绕过Intel内置的芯片安全特性,访问存储在“安全封锁”中的敏感数据。
研究人员发现一家医疗技术公司的心脏起搏器与胰岛素泵存在安全漏洞,可以被利用来控制传送到心脏的电脉冲,这可能导致受伤甚至死亡。
9月:
趋势技术发布的一项调查显示,2018年上半年,数据采集和监控系统SCADA系统的漏洞几乎是2017年上半年的两倍。
10月:
安全研究机构Ponemon发布的《2018年终结点安全风险状态报告》显示,无文件攻击将占针对端点的攻击的35%,主要包括使用宏、脚本引擎、内存、命令执行等系统内置功能。
加州大学的研究人员发现并公布了3个边信道漏洞利用,这些漏洞利用可以从GPU抽取敏感数据,而且操作相比CPU边信道攻击更为简单。个人用户和高性能计算机系统都面临潜在风险。
11月:
物联网安全公司Armis已经发现了德州仪器公司生产的低功耗蓝牙芯片的漏洞,思科和惠普在全球生产的数百万网络接入设备都面临着远程攻击的风险。
俄罗斯安全研究人员公开披露了一个零日漏洞VirtualBox E 1000 Guest-to-Host Escape,这个漏洞存在于Oracle虚拟机中,攻击者可以用这个漏洞逃出用户计算机虚拟环境。
手机APP安全公司Privacy4Cars曝光了一个名为CarsBlues的汽车蓝牙漏洞。黑客可以通过蓝牙获得车主手机信息并进入车载娱乐系统,获得权限,预测全球数千万汽车可能会受到影响。
荷兰拉德堡大学(UniversityofLadburg)的研究人员发现,比特储物柜是一种流行的固态硬盘加密软件。通过调试端口重编程,您可以重置任何密码,解密数据。
12月:
Check Point是一家安全公司,它使用流行的Windows模糊测试框架进行漏洞测试。仅在50天内,就在AdobeReader就发现了53个CVE漏洞。
2018年漏洞相关事件的特点:
漏洞数量在2018年有所减缓。造成这种情况的主要原因可能是,对漏洞报告比以往任何时候都更加分散,而且许多漏洞没有官方记录。此外,与每个国家的对漏洞披露政策的保守化有关,漏洞已成为重要的竞争资源。
诸如底层硬件漏洞、边信道和无文件等攻击越来越受到关注。针对芯片、内存、硬盘和协议级别的攻击层出不穷。同时,借用系统内置功能的无文件攻击也越来越流行。
摄像头、路由器、汽车、扬声器、无人机等智能联网设备以及工业联网系统的漏洞显著增加。其主要原因是智能设备的爆发和全球智能制造的浪潮,制造商对安全的普遍忽视,以及嵌入式更新的困难。