概述

2014年實可謂是中國信息安全元年，這一年里信息與網(wǎng)絡(luò)安全領(lǐng)域里發(fā)生了很多重大事件。最重要的莫過于2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣告成立，習(xí)近平擔(dān)任組長。這個事件標(biāo)志安全已經(jīng)上升到國家戰(zhàn)略高度。這也讓每一位中國安全行業(yè)的從業(yè)者，看到安全產(chǎn)業(yè)蓬勃發(fā)展的美好前景。

從另一個角度上來說，對于安全行業(yè)來說，2014年又是不平靜的一年。2014年高危漏洞頻發(fā)。心臟滴血（Heartbleed）漏洞、BASH漏洞、POODLE漏洞等重大安全漏洞的曝光，震動了整個互聯(lián)網(wǎng)，甚至有人稱這些漏洞帶給互聯(lián)網(wǎng)的是一場滅頂之災(zāi)。

然而，互聯(lián)網(wǎng)安全經(jīng)過2014年的洗禮，非但沒有“滅亡”，反而更加健康。再晴朗的天空也總可能會有那么一絲陰霾，盡管揮之不去，但仍舊無法遮擋燦爛的陽光。

阿里云安全團隊在2014年底收集和整理了去年一年曝光的安全漏洞，從數(shù)千個漏洞中評選出“影響2014年互聯(lián)網(wǎng)的十大安全漏洞”，與大家分享。

漏洞總結(jié)

1、2014年CVE漏洞分布

數(shù)據(jù)來源：http://www.cvedetails.com/

從上圖來看，2014年曝出的安全漏洞中，敏感信息泄露類漏洞數(shù)量最多，超過了2000個，這說明黑客對用戶信息的關(guān)注，侵犯了用戶信息的隱私性。拒絕服務(wù)類（DoS）漏洞數(shù)量緊跟其后，超過了1500個。通過拒絕服務(wù)攻擊，可以破壞業(yè)務(wù)的可用性和穩(wěn)定性。此外，遠程代碼執(zhí)行漏洞數(shù)量也非常多。

2、CVE漏洞總數(shù)趨勢

數(shù)據(jù)來源：http://www.cvedetails.com/

從上圖來看，2014年曝出的安全漏洞，從數(shù)量上創(chuàng)造了一個歷史之最。很難說這是一個好或是不好的結(jié)果。好的一方面是安全越來越被重視，漏洞不斷挖掘和曝光出來，而漏洞的不斷修復(fù)可以很大程度上提升系統(tǒng)的安全性；不好的一方面是安全威脅的形勢越來越嚴峻，隨著漏洞數(shù)量的增加，特別對于企業(yè)來說，安全維護團隊的壓力越來越大。一個新漏洞被曝光，如果不能在第一時間盡快修復(fù)這個漏洞，很可能就會失去與黑客攻防大戰(zhàn)的先機，處于被動的地位。

面對如此嚴峻的漏洞威脅形勢，云計算用戶和云服務(wù)提供商的安全團隊必須是一個防護整體，能否在第一時間獲得漏洞的預(yù)警，能否在第一時間完成云平臺防護系統(tǒng)有效防御部署，是對這個防護整體的挑戰(zhàn)。

2014年十大安全漏洞

2014年十大安全漏洞如下，排名不分先后：

1、Heartbleed漏洞

[[126229]]

【CVE編號】

CVE-2014-0160

【漏洞發(fā)現(xiàn)時間】

2014年4月份

【漏洞描述】

在OpenSSL 1.0.1 before 1.0.1g中的TLS和DTLS實現(xiàn)中，由于不能正確處理心跳擴展包，導(dǎo)致允許遠程攻擊者通過觸發(fā)緩沖區(qū)的包獲得進程內(nèi)存的敏感信息。

【漏洞危害】

導(dǎo)致服務(wù)器私鑰以及泄露會話Session、cookie、賬號密碼等敏感信息。

2、Shellshock（BASH）漏洞

【CVE編號】

CVE-2014-6271

【漏洞發(fā)現(xiàn)時間】

2014年9月

【漏洞描述】

GNU Bash 4.3及之前版本在評估某些構(gòu)造的環(huán)境變量時存在安全漏洞，向環(huán)境變量值內(nèi)的函數(shù)定義后添加多余的字符串會觸發(fā)此漏洞，攻擊者可利用此漏洞改變或繞過環(huán)境限制，以執(zhí)行shell命令。某些服務(wù)和應(yīng)用允許未經(jīng)身份驗證的遠程攻擊者提供環(huán)境變量以利用此漏洞。此漏洞源于在調(diào)用Bash shell之前可以用構(gòu)造的值創(chuàng)建環(huán)境變量。這些變量可以包含代碼，在shell被調(diào)用后會被立即執(zhí)行。

【漏洞危害】

可以直接在Bash支持的Web CGI環(huán)境下遠程執(zhí)行任何命令，另外此漏洞可能會影響到使用ForceCommand功能的OpenSSH sshd、使用mod_cgi或mod_cgid的Apache服務(wù)器、DHCP客戶端、其他使用Bash作為解釋器的應(yīng)用等。

3、SSL 3.0 POODLE漏洞:

[[126230]]

【CVE編號】

CVE-2014-3566

【漏洞發(fā)現(xiàn)時間】

2014年10月

【漏洞描述】

Poodle攻擊的原理，就是黑客故意制造安全協(xié)議連接失敗的情況，觸發(fā)瀏覽器的降級使用 SSL 3.0，然后使用特殊的手段，從 SSL 3.0 覆蓋的安全連接下提取到一定字節(jié)長度的隱私信息。

【漏洞危害】

攻擊者可以利用此漏洞獲取受害者的https請求中的敏感信息，如cookies等信息。

4、Microsoft KerberOS權(quán)限提升漏洞:

【CVE編號】

CVE-2014-6324

【漏洞發(fā)現(xiàn)時間】

2014年12月

【漏洞描述】

Windows Kerberos對kerberos tickets中的PAC(Privilege Attribute Certificate)的驗證流程中存在安全漏洞，低權(quán)限的經(jīng)過認證的遠程攻擊者利用該漏洞可以偽造一個PAC并通過Kerberos KDC(Key Distribution Center)的驗證，攻擊成功使得攻擊者可以提升權(quán)限，獲取域管理權(quán)限。

【漏洞危害】

利用一個普通的域賬號，提升自己的權(quán)限到域控管理員。

#p#

5、BadUSB

[[126231]]

【CVE編號】

無

【漏洞發(fā)現(xiàn)時間】

2014年7月

【漏洞描述】

一個BADUSB設(shè)備可以模仿登錄用戶的鍵盤或發(fā)出命令，例如exfiltrate文件或安裝惡意軟件。這樣的惡意軟件，反過來，可以感染的計算機連接的其他USB設(shè)備控制器芯片。該設(shè)備還可以欺騙網(wǎng)卡和更改計算機的DNS設(shè)置將流量重定向。

【漏洞危害】

BadUSB最大危險之處在于很難被查覺，哪怕是防病毒軟件也不能發(fā)現(xiàn)它。

6、IE通殺代碼執(zhí)行漏洞

[[126232]]

【CVE編號】

CVE-2014-6332

【漏洞發(fā)現(xiàn)時間】

2014年11月

【漏洞描述】

Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2/R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold/R2, Windows RT Gold/8.1版本在實現(xiàn)上存在Windows OLE自動化數(shù)組遠程代碼執(zhí)行漏洞，遠程攻擊者利用此漏洞通過構(gòu)造的網(wǎng)站執(zhí)行任意代碼。

【漏洞危害】

對于黑客，他們通過網(wǎng)站掛馬，可以直接批量控制中馬用戶的計算機，不僅可以盜取各類賬號（郵箱、游戲、網(wǎng)絡(luò)支付），還可以進行交易劫持等其他利益用途。

7、Microsoft Windows全版本提權(quán)漏洞

[[126233]]

【CVE編號】

CVE-2014-4113

【漏洞發(fā)現(xiàn)時間】

2014年10月

【漏洞描述】

如果攻擊者誘使用戶打開特制文檔或訪問包含嵌入 TrueType 字體的不受信任的網(wǎng)站，則其中較為嚴重的漏洞可能允許遠程執(zhí)行代碼。但是在所有情況下，攻擊者無法強制用戶執(zhí)行這些操作。相反，攻擊者必須說服用戶這樣做，方法通常是讓用戶單擊電子郵件或 Instant Messenger 消息中的鏈接。

【漏洞危害】

以普通用戶權(quán)限運行漏洞利用程序成功后，從普通用戶權(quán)限提升到了系統(tǒng)system最高權(quán)限。

8、NTP遠程代碼執(zhí)行以及拒絕服務(wù)攻擊漏洞

[[126234]]

【CVE編號】

CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296

【漏洞發(fā)現(xiàn)時間】

2014年12月

【漏洞描述】

網(wǎng)絡(luò)時間協(xié)議（NTP）功能是用于依靠參考時間源同步計算機的時間。本次同時爆出CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296等4個CVE漏洞。

（1） 其中CVE-2014-9293漏洞詳情為：如果在配置文件ntp.conf中ntpdc沒有指定申請認證密鑰，NTPD會自動生成弱密鑰。遠程攻擊者能夠通過匹配這些限制的IP地址來猜解出生成的密鑰，并有可能用它來發(fā)送ntpdc查詢或配置請求。

（2） 其中CVE-2014-9294漏洞詳情為： NTP密鑰生成器，使用一種不安全的算法來生成md5值。這可能允許攻擊者猜到生成的MD5密鑰，然后用于欺騙NTP客戶端或服務(wù)器。注：對于使用NTP-注冊機生成的密鑰，建議重新生成MD5密鑰。默認安裝不包含這些鍵值。

（3）其中CVE-2014-9295漏洞詳情為：在NTPD的函數(shù)crypto_recv()、ctl_putdata()和configure()中存在多個緩沖區(qū)溢出漏洞。遠程攻擊者可以利用這些漏洞發(fā)送精心構(gòu)造的數(shù)據(jù)包，導(dǎo)致NTPD崩潰，甚至使用NTP用戶權(quán)限執(zhí)行任意代碼。注：crypto_recv（）函數(shù)的漏洞利用，需要是在用的非默認配置，而ctl_putdata函數(shù)（）的漏洞利用，在默認情況下，只能通過本地攻擊者被利用。并且configure()函數(shù)的漏洞利用需要其他身份驗證利用。

（4）其中CVE-2014-9296漏洞詳情為：在receive()函數(shù)中缺少具體返回狀態(tài)，從而使遠程攻擊者有繞過NTP認證機制的可能。

【漏洞危害】

造成NTPD拒絕服務(wù)攻擊以及造成緩沖區(qū)溢出漏洞導(dǎo)致的代碼執(zhí)行漏洞。

9、Adobe堆緩沖區(qū)溢出漏洞

[[126235]]

【CVE編號】

CVE-2014-0561

【漏洞發(fā)現(xiàn)時間】

2014年9月

【漏洞描述】

Adobe Reader以及Adobe Acrobat存在堆溢出漏洞，成功利用后可導(dǎo)致代碼執(zhí)行。

【漏洞危害】

利用有漏洞的Adobe Reader和Adobe Acrobat攻擊操作系統(tǒng)，獲取相應(yīng)的權(quán)限。

10、Microsoft .NET Framework遠程權(quán)限提升漏洞

[[126236]]

【CVE編號】

CVE-2014-4149

【漏洞發(fā)現(xiàn)時間】

2014年11月

【漏洞描述】

Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5, 4.5.1, 4.5.2版本沒有正確執(zhí)行TypeFilterLevel檢查，遠程攻擊者通過向.NET Remoting端點發(fā)送構(gòu)造的數(shù)據(jù)，利用此漏洞可執(zhí)行任意代碼。

【漏洞危害】

利用有漏洞的.NET Framework獲取服務(wù)器權(quán)限。

#p#

云計算安全防護的思考

在上文中，我們提到了面對漏洞威脅和黑客的攻擊時，云計算用戶和云服務(wù)提供商的安全團隊是一個整體。這是一場關(guān)乎生死的大戰(zhàn)，也是一場與時間的賽跑。從時間角度上講，有兩個關(guān)鍵的因素：什么時候獲得漏洞的資訊以及什么時候完成漏洞的修復(fù)。

首先，當(dāng)一個漏洞被曝光出來時，能否在第一時間獲得漏洞的資訊是一個關(guān)鍵。在第一時間獲取漏洞的情報可以保證和絕大多數(shù)的攻擊者至少保持在同一個起跑線上。越晚獲得漏洞的信息就意味著起跑時間的延后。第二，即便在第一時間獲取了漏洞信息，能否及時修復(fù)也是成敗的關(guān)鍵。

對于云計算服務(wù)提供商來說，安全團隊不僅是一個運行和維護團隊，還需要有專業(yè)的安全研究小組，負責(zé)跟蹤和獲取最新的漏洞情報。當(dāng)一個漏洞被曝光出來時，安全研究人員會迅速對漏洞進行分析，獲取漏洞攻擊的手段并研究防護的策略。當(dāng)確認漏洞的攻擊手段后，用戶運營團隊需要通過微博、論壇、官方網(wǎng)站等諸多手段發(fā)布漏洞預(yù)警信息，提醒云計算用戶關(guān)注該漏洞的存在。與此同時，為了驗證漏洞在云計算平臺上的存在和分布狀況，還需要對全體云計算用戶進行全網(wǎng)掃描，發(fā)現(xiàn)存在該漏洞的用戶。

依照阿里云云盾的運營經(jīng)驗，接下來的處理可以分成兩個場景來進行。

第一個場景，云端防護。如果漏洞防護可以通過云平臺的Web防護系統(tǒng)實現(xiàn)攻擊行為的阻斷，那么運營團隊就必須要在第一時間更新Web防護系統(tǒng)的防護規(guī)則，實現(xiàn)漏洞在云平臺層面的防護。在這個場景下，即便用戶系統(tǒng)中存在該漏洞，但是由于云端防護系統(tǒng)已經(jīng)可以防護利用該漏洞的攻擊行為，用戶系統(tǒng)可以仍得到有效防護。必須要注意的是，安全團隊還需要通過監(jiān)控檢驗防護的效果，確保對該漏洞利用行為的阻斷。

第二個場景，用戶端防護。如果漏洞的防護必須需要用戶通過升級補丁才可以實現(xiàn)，則用戶運營團隊需要通過電子郵件和短信的方式對存在該漏洞的用戶進行一對一的漏洞預(yù)警信息推送。接收到信息的用戶可以依據(jù)預(yù)警信息中的指導(dǎo)完成漏洞的修復(fù)。對于后一種情況，為了保證漏洞的及時有效修復(fù)，運營團隊還要在預(yù)警信息發(fā)布后的一段時間內(nèi)再次進行漏洞的掃描，確認漏洞已被有效修復(fù)。

因此，不管對于哪一種場景，對于一個提供云計算安全防護的平臺來說，漏洞的防護都必須是一個快速和閉環(huán)的過程。

（注：文章部分圖片來自互聯(lián)網(wǎng)）

原文鏈接：http://blog.aliyun.com/2255?spm=0.0.0.0.kln8DS