大家好，我是 零日情報局。

本文首發於公眾號 零日情報局，微信ID：lingriqingbaoju。

漏洞之於網路世界，一直是殺傷力足以媲美原子彈、核武器一般的存在。

細數2019年典型的“超級漏洞”案例，我們能夠感受到剛過去這一年的“驚心動魄”——

1月，由360安全研究員釋出的一個核心漏洞的概念驗證（PoC）拉開序幕，該漏洞可幫遠端攻擊者在不驚動使用者的情況下越獄 iPhone X，訪問目標裝置上的資料，利用裝置計算能力等等；

2月，遺留19年之久的WinRAR程式碼執行漏洞被曝光，利用此漏洞可構造惡意的壓縮檔案，誘使受害者下載執行後可完全控制目標電腦，5億以上使用者瞬間陷入壓縮危機；

5月，微軟蠕蟲級漏洞“BlueKeep”曝光，近 100 萬臺裝置置於高危漏洞之下。攻擊者一旦成功利用，便可以在目標系統上執行任意程式碼，包括獲取敏感資訊、執行遠端程式碼、發起拒絕服務攻擊，甚至不排除再複製一次WannCry蠕蟲風暴，360等安全廠商加緊釋出免疫工具和緩解措施；

7月，谷歌Project Zero 團隊發現iOS系統存在6個“無互動”安全漏洞，可透過iMessage客戶端直接發動攻擊，而目標使用者無需做任何點選互動；

8月，英特爾X86處理器高危漏洞Spectre出現變種，該漏洞允許駭客竊取核心記憶體敏感資訊，且不會留下對硬體的攻擊痕跡；

11月，WhatsApp緩衝區溢位漏洞引發DoS/ RCE攻擊，可被用來安裝間諜軟體，Android及 iOS系統雙雙淪陷；

由點及面，再從整體資料來看，全球漏洞體量也在連年攀升。

# 國家資訊保安漏洞庫(CNNVD)：

CNNVD在2019年公佈的漏洞數量為17316個，全年增長率約為6.26%。

# 美國國家漏洞庫(NVD)：

NVD公佈的漏洞數量為17314個，全年增長率約為4.84%。

# 公共漏洞披露平臺(CVE)：

CVEdetails公佈的漏洞數量為16778個，全年增長率約為8.06%。

結合近幾年資料來看，漏洞數量逐年增長趨勢毋庸置疑，其背後更是足以震盪全球的安全威脅：老漏洞沉痾難愈，新漏洞層出不窮，大有按下葫蘆起了瓢的架勢。

下面，零日給大家總結一下今年漏洞相關的幾點趨勢。

趨勢1：各類漏洞危機四伏，工控漏洞首當其衝

結合2019年的典型案例來看，通用型漏洞、事件型漏洞分別趨向不同的特徵。

從型別上來說，漏洞整體呈現如下趨勢：通用型漏洞，底層硬體漏洞或將成為重大殺器；事件型漏洞，數量隨著智慧裝置發展而猛增。

以英特爾處理器漏洞事件為例，該漏洞基於Spectre（幽靈）、Meltdown（熔斷）等其他CPU漏洞之上，聊天記錄、電子郵件等敏感資訊在該漏洞面前與攻擊者坦誠相見。

且影響範圍之大，令12年以來的所有英特爾CPU、Intel或AMD處理器的X86-64系統全部列入易受攻擊範圍。以此為代表的底層硬體漏洞，可影響幾乎所有使用相關處理器晶片的計算機裝置，可見底層硬體漏洞的破壞力。

在通用型漏洞中，底層硬體漏洞因其範圍廣、隱蔽性高、危害大，且具備難以快速修復的特點，將成為“殺手級”網路攻擊武器。

至於事件型漏洞的發展趨勢，則因智慧裝置和雲的普及而迅猛增長。

2019年，iOS系統無互動漏洞、藍芽金鑰協商攻擊漏洞就是最典型的例子。

拿藍芽金鑰協商攻擊漏洞來說，包括智慧手機、膝上型電腦、智慧物聯網裝置和工業裝置在內的超10億臺藍芽裝置，均在其威脅之下。萬物互聯，漏洞威脅如影隨形。

我們應該認識到，隨著物聯網發展智慧裝置激增，事件型漏洞數量也呈爆發趨勢。

另外，零日認為還需要特別注意的一點，工控裝置漏洞帶來的深度威脅持續攀升。

2019年，媒體曝光美國將網路攻擊的利刃插入俄羅斯電網系統，隨後又掉轉矛頭劍指伊朗，國家間的網路攻擊不再是科幻大片橋段。

與此同時，全球工業網際網路安全漏洞持續高發，工控裝置漏洞不僅關係到行業安全，更成為國家網路攻防爭奪的戰略高地。

也就是說，工業網際網路的發展導致利用工控裝置漏洞攻擊事件的威脅加劇，主動發現工業網際網路裝置漏洞對於網路安全來說至關重要。

 

趨勢2：各類漏洞行情連年暴漲

既然漏洞的重要性顯而易見，其行情自然也是一片大好。無論是過明路的漏洞軍火商，還是黑市暗網，漏洞的價格每年、甚至每天都在暴漲。

先來看“挖洞界二道販子”Zerodium的價格表，安卓漏洞價格最高達250萬美元，出價幾乎是去年的12倍。

（Zerodium最新變更日誌）

對比2017年和2019年的WhatsApp RCE+LPE漏洞價格，Zerodium標價分別為$500,000和 $1000,000，兩年之間身價翻了一倍。

（2019年與2017年WhatsApp RCE+LPE漏洞價格對比圖）

從臺前退回到幕後，黑市上交易的漏洞同樣身價不菲。

在暗網上，漏洞交易服務基本擁有自己的專區專欄，而且交易價格遠高於各大平臺的賞金。一個有價值的Win10漏洞賞金可能只有幾萬美元，而在黑市交易上，其價格可以翻幾倍、幾十倍，甚至是幾百倍。

根據Hacking Team的說法，一個普通的漏洞交易價格也就是在3.5-4.5萬美元之間，賣給他們，價格能翻三倍，更別提那種有價值的iOS漏洞，拿到幾十萬美元稀鬆平常。

確實，最新的Flashpoint報告《網路犯罪商品的定價分析》也告訴我們，暗網上包括漏洞在內的網路攻擊服務、駭客攻擊工具的價格每天都在上漲。

趨勢3：全球大廠高賞金求安全

暗網漏洞交易黃金萬兩，但有道德操守的駭客通常都會將漏洞提交給各大廠商，畢竟廠商們的賞金也非常可觀，且正在逐年攀升。

獎金數額的提升和範圍擴大皆能表明，廠商們已然意識到了漏洞對安全的重要性。

2010年開始懸賞漏洞的谷歌，其最高基線獎勵從 5000 美元升至15000 美元。2019年，谷歌提升了Chrome、Chrome OS 和Play的漏洞獎勵金額，同時將Android Bug賞金計劃的最高獎金上調至150萬美元。

再看微軟，從2012年開始推出了多項針對Windows的漏洞獎勵計劃，Spectre（幽靈）、Meltdown（熔斷）類漏洞賞金最高可達25萬美元。前不久，微軟剛推出的“身份服務漏洞”懸賞計劃，最高單價為10萬美元。

今年，“摳門”的蘋果也一反常態，剛公佈的 “安全漏洞獎勵計劃”將最高賞金提升至100萬美元。

Facebook不僅懸賞金額高，就連通常不予獎勵的第三方應用漏洞也納入懸賞範圍內。

除了這些科技巨頭之外，還有類似卡巴斯基的一些安全廠商也有自己的漏洞懸賞計劃。漏洞賞金逐年攀升、懸賞範圍逐步擴大，漏洞之於廠商的重要性不言而喻。

趨勢4：漏洞成國家博弈戰略資源

上升至國家層面，漏洞作為網路攻防制勝的關鍵，已是重要戰略資源並影響國家博弈。

上文提及，中美國家漏洞庫2019年收錄漏洞接近40000餘個，倘若這些漏洞一旦被用於網路攻防實戰，無疑將成為國家作戰部隊取之不竭的軍火庫。

在利用漏洞軍火這方面，美國可是前科累累。去年6月，利用未披露漏洞對伊朗導彈系統發起攻擊，美國全面攻陷伊朗導彈系統。

（著名漏洞軍火商Zerodium 釋出的2019年漏洞“價牌”）

也正是因為漏洞“核武級”的安全威脅，誘發了全球範圍內此消彼長的漏洞軍備競賽。

NSA美國網路軍火庫就全球撒網，斥巨資長期搜尋漏洞資源，以色列、英國、俄羅斯、印度也緊隨其後，搶佔漏洞資源積極備戰。

趨勢5：漏洞認知存致命短板

網路安全的底線，取決於最短的那塊板。

相比于軍政領域高度重視，關鍵資訊科技設施領域對漏洞的“核級威脅”認知明顯偏低，這正是網路安全的短板之一。

就拿航空航天這一關鍵資訊基礎設施建設來說，2019 POC安全大會上，曾披露Blockstream衛星鏈路衛星調變解調器EDMAC遠端控制功能的實體地址認證缺失漏洞，可被攻擊者用於切斷衛星鏈路。

如若這些漏洞被用於國家間的網路對抗，失去衛星通訊控制的一方，通訊、交通、能源和網路系統都可能遭受滅頂之災。

由此看來，航空航天、電力、水利、石化、冶金、汽車這些關乎國計民生的關鍵基礎設施，不僅安全防護嚴重滯後，甚至還存在防護能力幾乎為零的情況。

 

零日反思

漏洞這個網路安全的頑疾，確實有不治恐將深之勢。

每一個漏洞都是開啟全球網路浩劫的入口，它讓發現者有了危害社會的巨大能量，尤其是在網路空間國家博弈的情況下，掌握漏洞就如同掌握了軍火武器資源。在漏洞“武器化”的當下，國家、企業與個人都應樹立網路安全大局觀念，將看不見的威脅轉變成“看得見”的實力。否則，皮之不存，毛將焉附？

零日情報局作品

微信公眾號：lingriqingbaoju

如需轉載，請後臺留言

歡迎分享朋友圈

參考資料：

ZERODIUM：漏洞交易價格變更日誌

數世諮詢：《2019年網路安全大事記》